Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 16 replies
  • Subscribers 0 subscribers
  • Views 5436 views
  • Users 0 members are here
Options
Suggested

[8.900][BUG] Snort restarting / Wireless clients disconected

UrsWeiss
Installed 8.900 yesterday evening and restored the backup from 8.301.

Since then, i receive a notification that snort was restarted every ~2.5h. Also recognized that all my wireless clients loosing their connection from time to time. Just some minutes ago they where disconnected again and i had time to look into the logs:

Wireless Security:
2012:03:03-21:27:11 whity awed[29438]: [AP30 A40001E81F4F432] disconnected. Close socket and kill process.
2012:03:03-21:27:20 whity awed[4186]: [MASTER] new connection from 192.168.xx.yy:37868
2012:03:03-21:27:20 whity awed[20401]: [AP30 A40001E81F4F432] (Re-)loaded identity and/or configuration
2012:03:03-21:27:21 192.168.xx.yy kernel: [   17.170000] device eth0 entered promiscuous mode
2012:03:03-21:27:21 192.168.xx.yy sysinit: Interface type  not supported.
2012:03:03-21:27:22 192.168.xx.yy kernel: [   17.900000] cfg80211: Calling CRDA for country: CH
2012:03:03-21:27:22 192.168.xx.yy ifup: Allowing Router Advertisements on lan (br-lan)


Few minutes later i also received the notification that snort was restarted.

So, also had a look into the IPS logs (see attachment, it's a bit longer)

Seems that snorts restarts first, and then wireless clients loosing their connection because of that.
snort_log.txt.zip
  • 0
    From the Self Monitoring log:
    2012:03:03-21:26:26 whity selfmonng[3558]: I check Failed increment snort_inline_running counter 1 - 3
    2012:03:03-21:26:46 whity selfmonng[3558]: I check Failed increment snort_inline_running counter 2 - 3
    2012:03:03-21:27:06 whity selfmonng[3558]: W check Failed increment snort_inline_running counter 3 - 3
    2012:03:03-21:27:06 whity selfmonng[3558]: Snort not running - restarted
    2012:03:03-21:27:06 whity selfmonng[3558]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 sent
    2012:03:03-21:27:06 whity selfmonng[3558]: W triggerAction: 'cmd'
    2012:03:03-21:27:06 whity selfmonng[3558]: W actionCmd(+):  '/var/mdw/scripts/snort restart'
    2012:03:03-21:27:15 whity selfmonng[3558]: W child returned status: exit='0' signal='0'
  • 0 in reply to UrsWeiss
    I am also getting alerts that Snort has stopped working and had to be restarted.

    Since installing Friday night (3/2), alerts indicate snort has been restarted:

    3/2 - 11:01 pm

    3/3 - 2:21 am
            11:29 pm

    3/4 - 3:30 am
            5:50 am


    Self monitoring log for today: 

    2012:03:04-03:30:09 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 1 - 3

    2012:03:04-03:30:29 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 2 - 3

    2012:03:04-03:30:49 astaro selfmonng[3829]: W check Failed increment snort_inline_running counter 3 - 3

    2012:03:04-03:30:49 astaro selfmonng[3829]: Snort not running - restarted

    2012:03:04-03:30:49 astaro selfmonng[3829]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 sent

    2012:03:04-03:30:49 astaro selfmonng[3829]: W triggerAction: 'cmd'

    2012:03:04-03:30:49 astaro selfmonng[3829]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

    2012:03:04-03:30:55 astaro selfmonng[3829]: W child returned status: exit='0' signal='0'

    2012:03:04-03:41:35 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 1 - 3

    2012:03:04-03:41:55 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 2 - 3

    2012:03:04-03:42:15 astaro selfmonng[3829]: W check Failed increment snort_inline_running counter 3 - 3

    2012:03:04-03:42:15 astaro selfmonng[3829]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 suppressed

    2012:03:04-03:42:15 astaro selfmonng[3829]: W triggerAction: 'cmd'

    2012:03:04-03:42:15 astaro selfmonng[3829]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

    2012:03:04-03:42:21 astaro selfmonng[3829]: W child returned status: exit='0' signal='0'

    2012:03:04-05:49:22 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 1 - 3

    2012:03:04-05:49:42 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 2 - 3

    2012:03:04-05:50:02 astaro selfmonng[3829]: W check Failed increment snort_inline_running counter 3 - 3

    2012:03:04-05:50:02 astaro selfmonng[3829]: Snort not running - restarted

    2012:03:04-05:50:02 astaro selfmonng[3829]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 sent

    2012:03:04-05:50:02 astaro selfmonng[3829]: W triggerAction: 'cmd'

    2012:03:04-05:50:02 astaro selfmonng[3829]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

    2012:03:04-05:50:08 astaro selfmonng[3829]: W child returned status: exit='0' signal='0'
  • 0
    Installed 8.900 yesterday evening and restored the backup from 8.301.

    Since then, i receive a notification that snort was restarted every ~2.5h. Also recognized that all my wireless clients loosing their connection from time to time. Just some minutes ago they where disconnected again and i had time to look into the logs:

    So, also had a look into the IPS logs (see attachment, it's a bit longer)

    Seems that snorts restarts first, and then wireless clients loosing their connection because of that.


    Thanks for the log file. You could try installing
    http://people.astaro.com/fwestphal/snort/chroot-snort-2.9.0.4-23.g7c4631e-enoent.i686.rpm

    on your v9 beta installation (disclaimer: untested, because i can't reproduce the issue so far; also, this is only for v9 beta release 1).

    You'll need to use "rpm -U --force chroot-snort-2.9.0.4-23.g7c4631e-enoent.i686.rpm"
    to install it.

    after this snort should be a bit more verbose when the error condition is triggered;
    it would be great if you could post the snortlog after this was running for a day or so.
  • 0
    Will install the RPM tonight.

    Since yesterday, it hasn't restarted that often anymore. We will see.
  • 0 in reply to UrsWeiss
    OK, installed the rpm yesterday and rebooted the UTM just to be sure.

    And today morning snort war restarted again:
    logfiles_20120306113740.zip
  • 0 in reply to UrsWeiss
    and rebooted the UTM just to be sure.


    Sorry.  I forgot to mention that.  Yes, you need to reboot o, turn ips off/on so snort gets restarted.
    (alternatively, run "/var/mdw/scripts/snort restart" from commandline)


    And today morning snort war restarted again:


    next try:
    http://people.astaro.com/fwestphal/snort/chroot-snort-2.9.0.4-24.g3bfc767.i686.rpm

    You can use "rpm -Uhv  chroot-snort-2.9.0.4-24.g3bfc767.i686.rpm" to install this
    one; no --force needed.
  • 0 in reply to UrsWeiss
    Ten minutes later again...


    Many thanks.  This looks bad... Hopefully last debug version:
    http://people.astaro.com/fwestphal/snort/chroot-snort-2.9.0.4-25.g5d3473a.i686.rpm

    please give this one a try.  once the issue has re-occured a few times, upload ips.log as usual and then try the following:

    echo "SNORT_DAQ_MODULE=nfq" >> /etc/sysconfig/snort

    [ the '>>' are important, we only want to append this line to the file. if unsure,
      open the file in an editor and add that line manually ].

    Then restart snort again. Did that "fix" it?
    On a related note.  Is this a virtual machine or a real box? What CPU is being used?
  • 0 in reply to 67ef1d
    I am also getting snort restarting. For me it seems to be one or twice a day.

    Physical machine, Intel D525MW.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?