Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 18 replies
  • Subscribers 0 subscribers
  • Views 6016 views
  • Users 0 members are here
Options
Suggested

[9.191][BUG] Logfiles growing 7 Gig in 30 minutes

juergen852
Hi, running Firmware version: 9.191-2 my log disk space of 7.5 Gig got filled up within 30 minutes....

I imported my config from current UTM 9 version and imported it to beta 9.2.


Fallback.log is about 180 MB and shows mostly 
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
2013:12:26-00:44:45 xyz [daemon:info] pfilter-reporter.pl:  INFO - found match: violation found
and so on.
What is PFILTER? No idea where to check my config.


Firewall log is 6.6 Gig. I could not even view or download it...
So I had to delete the file. As you can see on enclosed screenshot, it only took about 30 minutes to fill up the log....
Don't ask me, what I did at that time. I was playing around with user portal and running an update on linux mint 14.

After deleting, firewall log shows normal growth.


SSL-VPN shows some Auth Failed while having established my user portal session.
Using Google OTP Token. Reconnects are quite frequent....

2013:12:26-20:17:16 somewhere34 openvpn[9364]: xx.yy.236.173:57892 SENT CONTROL [REF_AaaUse2]: 'AUTH_FAILED' (status=1)
2013:12:26-20:17:16 somewhere34 openvpn[9364]: xx.yy.236.173:57892 Connection reset, restarting [0]
2013:12:26-20:17:16 somewhere34 openvpn[9364]: xx.yy.236.173:57892 SIGUSR1[soft,connection-reset] received, client-instance restarting
2013:12:26-20:17:26 somewhere34 openvpn[9364]: TCP connection established with [AF_INET]xx.yy.236.173:57893 (via [AF_INET]88.64.135.99:443)
2013:12:26-20:17:27 somewhere34 openvpn[9364]: xx.yy.236.173:57893 TLS: Initial packet from [AF_INET]xx.yy.236.173:57893 (via [AF_INET]88.64.135.99:443), sid=4083ea1d 8e434824
2013:12:26-20:17:28 somewhere34 openvpn[9364]: xx.yy.236.173:57893 VERIFY OK: depth=0, C=de, L=jm, O=jm, CN=REF_SslSerJmtwFaken2
2013:12:26-20:17:28 somewhere34 openvpn[9364]: xx.yy.236.173:57893 VERIFY OK: depth=1, C=de, L=jm, O=jm, CN=jm VPN CA, emailAddress=jm@somedomain.de
2013:12:26-20:17:28 somewhere34 openvpn[9364]: xx.yy.236.173:57893 VERIFY OK: depth=1, C=de, L=jm, O=jm, CN=jm VPN CA, emailAddress=jm@somedomain.de
2013:12:26-20:17:28 somewhere34 openvpn[9364]: xx.yy.236.173:57893 VERIFY OK: depth=0, C=de, L=jm, O=jm, CN=REF_SslSerJmtwFaken2
2013:12:26-20:17:29 somewhere34 openvpn[9364]: xx.yy.236.173:57893 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=2
2013:12:26-20:17:29 somewhere34 openvpn[9364]: xx.yy.236.173:57893 TLS: Username/Password authentication deferred for username 'REF_AaaUse2' [CN SET]
2013:12:26-20:17:29 somewhere34 openvpn[9364]: xx.yy.236.173:57893 Data Channel Encrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
2013:12:26-20:17:29 somewhere34 openvpn[9364]: xx.yy.236.173:57893 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:12:26-20:17:29 somewhere34 openvpn[9364]: xx.yy.236.173:57893 Data Channel Decrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
2013:12:26-20:17:29 somewhere34 openvpn[9364]: xx.yy.236.173:57893 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:12:26-20:17:29 somewhere34 openvpn[9364]: xx.yy.236.173:57893 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
2013:12:26-20:17:29 somewhere34 openvpn[9364]: xx.yy.236.173:57893 [REF_AaaUse2] Peer Connection Initiated with [AF_INET]xx.yy.236.173:57893 (via [AF_INET]88.64.135.99:443)
2013:12:26-20:17:31 somewhere34 openvpn[9364]: xx.yy.236.173:57893 PUSH: Received control message: 'PUSH_REQUEST'
2013:12:26-20:17:31 somewhere34 openvpn[9364]: xx.yy.236.173:57893 Delayed exit in 5 seconds
2013:12:26-20:17:31 somewhere34 openvpn[9364]: xx.yy.236.173:57893 SENT CONTROL [REF_AaaUse2]: 'AUTH_FAILED' (status=1)
2013:12:26-20:17:31 somewhere34 openvpn[9364]: xx.yy.236.173:57893 Connection reset, restarting [0]
2013:12:26-20:17:31 somewhere34 openvpn[9364]: xx.yy.236.173:57893 SIGUSR1[soft,connection-reset] received, client-instance restarting
2013:12:26-20:17:41 somewhere34 openvpn[9364]: TCP connection established with [AF_INET]xx.yy.236.173:57894 (via [AF_INET]88.64.135.99:443)
2013:12:26-20:17:42 somewhere34 openvpn[9364]: xx.yy.236.173:57894 TLS: Initial packet from [AF_INET]xx.yy.236.173:57894 (via [AF_INET]88.64.135.99:443), sid=f656096f d58bcce6
2013:12:26-20:17:43 somewhere34 openvpn[9364]: xx.yy.236.173:57894 VERIFY OK: depth=0, C=de, L=jm, O=jm, CN=REF_SslSerJmtwFaken2
2013:12:26-20:17:43 somewhere34 openvpn[9364]: xx.yy.236.173:57894 VERIFY OK: depth=1, C=de, L=jm, O=jm, CN=jm VPN CA, emailAddress=jm@somedomain.de
2013:12:26-20:17:43 somewhere34 openvpn[9364]: xx.yy.236.173:57894 VERIFY OK: depth=1, C=de, L=jm, O=jm, CN=jm VPN CA, emailAddress=jm@somedomain.de
2013:12:26-20:17:43 somewhere34 openvpn[9364]: xx.yy.236.173:57894 VERIFY OK: depth=0, C=de, L=jm, O=jm, CN=REF_SslSerJmtwFaken2
2013:12:26-20:17:44 somewhere34 openvpn[9364]: xx.yy.236.173:57894 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=2
2013:12:26-20:17:44 somewhere34 openvpn[9364]: xx.yy.236.173:57894 TLS: Username/Password authentication deferred for username 'REF_AaaUse2' [CN SET]
2013:12:26-20:17:44 somewhere34 openvpn[9364]: xx.yy.236.173:57894 Data Channel Encrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
2013:12:26-20:17:44 somewhere34 openvpn[9364]: xx.yy.236.173:57894 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:12:26-20:17:44 somewhere34 openvpn[9364]: xx.yy.236.173:57894 Data Channel Decrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
2013:12:26-20:17:44 somewhere34 openvpn[9364]: xx.yy.236.173:57894 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:12:26-20:17:44 somewhere34 openvpn[9364]: xx.yy.236.173:57894 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
2013:12:26-20:17:44 somewhere34 openvpn[9364]: xx.yy.236.173:57894 [REF_AaaUse2] Peer Connection Initiated with [AF_INET]xx.yy.236.173:57894 (via [AF_INET]88.64.135.99:443)
2013:12:26-20:17:46 somewhere34 openvpn[9364]: xx.yy.236.173:57894 PUSH: Received control message: 'PUSH_REQUEST'
2013:12:26-20:17:46 somewhere34 openvpn[9364]: xx.yy.236.173:57894 Delayed exit in 5 seconds
2013:12:26-20:17:46 somewhere34 openvpn[9364]: xx.yy.236.173:57894 SENT CONTROL [REF_AaaUse2]: 'AUTH_FAILED' (status=1)
2013:12:26-20:17:46 somewhere34 openvpn[9364]: xx.yy.236.173:57894 Connection reset, restarting [0]
2013:12:26-20:17:46 somewhere34 openvpn[9364]: xx.yy.236.173:57894 SIGUSR1[soft,connection-reset] received, client-instance restarting
2013:12:26-20:17:56 somewhere34 openvpn[9364]: TCP connection established with [AF_INET]xx.yy.236.173:57895 (via [AF_INET]88.64.135.99:443)
2013:12:26-20:17:57 somewhere34 openvpn[9364]: xx.yy.236.173:57895 TLS: Initial packet from [AF_INET]xx.yy.236.173:57895 (via [AF_INET]88.64.135.99:443), sid=e3527067 9e27b69e
2013:12:26-20:17:58 somewhere34 openvpn[9364]: xx.yy.236.173:57895 VERIFY OK: depth=0, C=de, L=jm, O=jm, CN=REF_SslSerJmtwFaken2
2013:12:26-20:17:58 somewhere34 openvpn[9364]: xx.yy.236.173:57895 VERIFY OK: depth=1, C=de, L=jm, O=jm, CN=jm VPN CA, emailAddress=jm@somedomain.de
2013:12:26-20:17:58 somewhere34 openvpn[9364]: xx.yy.236.173:57895 VERIFY OK: depth=1, C=de, L=jm, O=jm, CN=jm VPN CA, emailAddress=jm@somedomain.de
2013:12:26-20:17:58 somewhere34 openvpn[9364]: xx.yy.236.173:57895 VERIFY OK: depth=0, C=de, L=jm, O=jm, CN=REF_SslSerJmtwFaken2
2013:12:26-20:17:59 somewhere34 openvpn[9364]: xx.yy.236.173:57895 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=2
2013:12:26-20:17:59 somewhere34 openvpn[9364]: xx.yy.236.173:57895 TLS: Username/Password authentication deferred for username 'REF_AaaUse2' [CN SET]
2013:12:26-20:17:59 somewhere34 openvpn[9364]: xx.yy.236.173:57895 Data Channel Encrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
2013:12:26-20:17:59 somewhere34 openvpn[9364]: xx.yy.236.173:57895 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:12:26-20:17:59 somewhere34 openvpn[9364]: xx.yy.236.173:57895 Data Channel Decrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
2013:12:26-20:17:59 somewhere34 openvpn[9364]: xx.yy.236.173:57895 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:12:26-20:17:59 somewhere34 openvpn[9364]: xx.yy.236.173:57895 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
2013:12:26-20:17:59 somewhere34 openvpn[9364]: xx.yy.236.173:57895 [REF_AaaUse2] Peer Connection Initiated with [AF_INET]xx.yy.236.173:57895 (via [AF_INET]88.64.135.99:443)
2013:12:26-20:18:01 somewhere34 openvpn[9364]: xx.yy.236.173:57895 PUSH: Received control message: 'PUSH_REQUEST'
2013:12:26-20:18:01 somewhere34 openvpn[9364]: xx.yy.236.173:57895 Delayed exit in 5 seconds
2013:12:26-20:18:01 somewhere34 openvpn[9364]: xx.yy.236.173:57895 SENT CONTROL [REF_AaaUse2]: 'AUTH_FAILED' (status=1)
2013:12:26-20:18:01 somewhere34 openvpn[9364]: xx.yy.236.173:57895 Connection reset, restarting [0]
2013:12:26-20:18:01 somewhere34 openvpn[9364]: xx.yy.236.173:57895 SIGUSR1[soft,connection-reset] received, client-instance restarting
2013:12:26-20:18:11 somewhere34 openvpn[9364]: TCP connection established with [AF_INET]xx.yy.236.173:57904 (via [AF_INET]88.64.135.99:443)
2013:12:26-20:18:12 somewhere34 openvpn[9364]: xx.yy.236.173:57904 TLS: Initial packet from [AF_INET]xx.yy.236.173:57904 (via [AF_INET]88.64.135.99:443), sid=421c36c3 59d5bda4
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 VERIFY OK: depth=0, C=de, L=jm, O=jm, CN=REF_SslSerJmtwFaken2
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 VERIFY OK: depth=1, C=de, L=jm, O=jm, CN=jm VPN CA, emailAddress=jm@somedomain.de
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 VERIFY OK: depth=1, C=de, L=jm, O=jm, CN=jm VPN CA, emailAddress=jm@somedomain.de
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 VERIFY OK: depth=0, C=de, L=jm, O=jm, CN=REF_SslSerJmtwFaken2
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=2
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 TLS: Username/Password authentication deferred for username 'REF_AaaUse2' [CN SET]
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 Data Channel Encrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 Data Channel Decrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
2013:12:26-20:18:14 somewhere34 openvpn[9364]: xx.yy.236.173:57904 [REF_AaaUse2] Peer Connection Initiated with [AF_INET]xx.yy.236.173:57904 (via [AF_INET]88.64.135.99:443)
2013:12:26-20:18:17 somewhere34 openvpn[9364]: xx.yy.236.173:57904 PUSH: Received control message: 'PUSH_REQUEST'
2013:12:26-20:18:17 somewhere34 openvpn[9364]: xx.yy.236.173:57904 Delayed exit in 5 seconds
2013:12:26-20:18:17 somewhere34 openvpn[9364]: xx.yy.236.173:57904 SENT CONTROL [REF_AaaUse2]: 'AUTH_FAILED' (status=1)
2013:12:26-20:18:17 somewhere34 openvpn[9364]: xx.yy.236.173:57904 Connection reset, restarting [0]
2013:12:26-20:18:17 somewhere34 openvpn[9364]: xx.yy.236.173:57904 SIGUSR1[soft,connection-reset] received, client-instance restarting
Parents
  • 0
    I had the same problem again and had to delete the logs.. 
    Is there another way to access the logs? SSH?
    (I should have thought about that earlier....)

    One hint may be: 
    Advanced Thread Protection found one of my Android devices being infected.
    The start of the rapidly growing logfile is close to those ATP messages.
    (Can't test at the moment, on holiday till 5th.)

    BTW: 
    Sophos Mobile Security is running on that Android device and it does not report any problems.....
    So whom should I believe?


    What I got by mail alert:
    Advanced Threat Protection

    A threat has been detected in your network
    The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

    Details about the alert:

    Threat name....: C2/Android-A (SID: 25521)
    Details........: C2/Android-A - Viruses and Spyware - Threat Analysis - Threat Center - Sophos
    Time...........: 2013-12-24 15:02:10
    Traffic blocked: yes

    Internal source IP address or host: localhost
           
    -- 
    System Uptime      : 0 days 12 hours 13 minutes
    System Load        : 0.03
    System Version     : Sophos UTM 9.191-2

    Please refer to the manual for detailed instructions. 

    Best Regards and happy new year
  • 0 in reply to juergen852

    One hint may be: 
    Advanced Thread Protection found one of my Android devices being infected.
    The start of the rapidly growing logfile is close to those ATP messages.

    I don't think that this is related. The ATP alert is detected from ips which have it's own log file but the growing logfile is the packetfilter.log

    We have to wait for some information from the logfile to find out the root cause.



    (Can't test at the moment, on holiday till 5th.)

    Wish you nice holidays [:D]


    BTW: 
    Sophos Mobile Security is running on that Android device and it does not report any problems.....
    So whom should I believe?

    In this case Sophos Mobile Security [:)].

    This is a false positive. We removed this with the latest ipsbundle pattern. I'm suprised that this happens on your UTM with the newest version installed. Can you please check which pattern version of ipsbundle you have installed?
    As root on the command line, rpm -qa | grep ipsbundle

    You can disable this SID with a rule modifier in the Advanced Tab of IPS.

    Best,
    Kofi
  • 0 in reply to kofi
    I don't think that this is related. The ATP alert is detected from ips which have it's own log file but the growing logfile is the packetfilter.log

    We have to wait for some information from the logfile to find out the root cause.



    Wish you nice holidays [:D]


    In this case Sophos Mobile Security [:)].

    This is a false positive. We removed this with the latest ipsbundle pattern. I'm suprised that this happens on your UTM with the newest version installed. Can you please check which pattern version of ipsbundle you have installed?
    As root on the command line, rpm -qa | grep ipsbundle

    You can disable this SID with a rule modifier in the Advanced Tab of IPS.

    Best,
    Kofi


    unless you have basicguard which removed the custom functionality so a fix is required from sophos.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    unless you have basicguard which removed the custom functionality so a fix is required from sophos.


    Yes, it is our part to fix this issue. But as far as I know Rule modifiers should work with Basicguard License.
Reply Children
No Data
Unfiltered HTML