Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 16 replies
  • Subscribers 0 subscribers
  • Views 5445 views
  • Users 0 members are here
Options
Suggested

[8.900][BUG] Snort restarting / Wireless clients disconected

UrsWeiss
Installed 8.900 yesterday evening and restored the backup from 8.301.

Since then, i receive a notification that snort was restarted every ~2.5h. Also recognized that all my wireless clients loosing their connection from time to time. Just some minutes ago they where disconnected again and i had time to look into the logs:

Wireless Security:
2012:03:03-21:27:11 whity awed[29438]: [AP30 A40001E81F4F432] disconnected. Close socket and kill process.
2012:03:03-21:27:20 whity awed[4186]: [MASTER] new connection from 192.168.xx.yy:37868
2012:03:03-21:27:20 whity awed[20401]: [AP30 A40001E81F4F432] (Re-)loaded identity and/or configuration
2012:03:03-21:27:21 192.168.xx.yy kernel: [   17.170000] device eth0 entered promiscuous mode
2012:03:03-21:27:21 192.168.xx.yy sysinit: Interface type  not supported.
2012:03:03-21:27:22 192.168.xx.yy kernel: [   17.900000] cfg80211: Calling CRDA for country: CH
2012:03:03-21:27:22 192.168.xx.yy ifup: Allowing Router Advertisements on lan (br-lan)


Few minutes later i also received the notification that snort was restarted.

So, also had a look into the IPS logs (see attachment, it's a bit longer)

Seems that snorts restarts first, and then wireless clients loosing their connection because of that.
snort_log.txt.zip
Parents
  • 0
    From the Self Monitoring log:
    2012:03:03-21:26:26 whity selfmonng[3558]: I check Failed increment snort_inline_running counter 1 - 3
    2012:03:03-21:26:46 whity selfmonng[3558]: I check Failed increment snort_inline_running counter 2 - 3
    2012:03:03-21:27:06 whity selfmonng[3558]: W check Failed increment snort_inline_running counter 3 - 3
    2012:03:03-21:27:06 whity selfmonng[3558]: Snort not running - restarted
    2012:03:03-21:27:06 whity selfmonng[3558]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 sent
    2012:03:03-21:27:06 whity selfmonng[3558]: W triggerAction: 'cmd'
    2012:03:03-21:27:06 whity selfmonng[3558]: W actionCmd(+):  '/var/mdw/scripts/snort restart'
    2012:03:03-21:27:15 whity selfmonng[3558]: W child returned status: exit='0' signal='0'
  • 0 in reply to UrsWeiss
    I am also getting alerts that Snort has stopped working and had to be restarted.

    Since installing Friday night (3/2), alerts indicate snort has been restarted:

    3/2 - 11:01 pm

    3/3 - 2:21 am
            11:29 pm

    3/4 - 3:30 am
            5:50 am


    Self monitoring log for today: 

    2012:03:04-03:30:09 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 1 - 3

    2012:03:04-03:30:29 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 2 - 3

    2012:03:04-03:30:49 astaro selfmonng[3829]: W check Failed increment snort_inline_running counter 3 - 3

    2012:03:04-03:30:49 astaro selfmonng[3829]: Snort not running - restarted

    2012:03:04-03:30:49 astaro selfmonng[3829]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 sent

    2012:03:04-03:30:49 astaro selfmonng[3829]: W triggerAction: 'cmd'

    2012:03:04-03:30:49 astaro selfmonng[3829]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

    2012:03:04-03:30:55 astaro selfmonng[3829]: W child returned status: exit='0' signal='0'

    2012:03:04-03:41:35 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 1 - 3

    2012:03:04-03:41:55 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 2 - 3

    2012:03:04-03:42:15 astaro selfmonng[3829]: W check Failed increment snort_inline_running counter 3 - 3

    2012:03:04-03:42:15 astaro selfmonng[3829]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 suppressed

    2012:03:04-03:42:15 astaro selfmonng[3829]: W triggerAction: 'cmd'

    2012:03:04-03:42:15 astaro selfmonng[3829]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

    2012:03:04-03:42:21 astaro selfmonng[3829]: W child returned status: exit='0' signal='0'

    2012:03:04-05:49:22 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 1 - 3

    2012:03:04-05:49:42 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 2 - 3

    2012:03:04-05:50:02 astaro selfmonng[3829]: W check Failed increment snort_inline_running counter 3 - 3

    2012:03:04-05:50:02 astaro selfmonng[3829]: Snort not running - restarted

    2012:03:04-05:50:02 astaro selfmonng[3829]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 sent

    2012:03:04-05:50:02 astaro selfmonng[3829]: W triggerAction: 'cmd'

    2012:03:04-05:50:02 astaro selfmonng[3829]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

    2012:03:04-05:50:08 astaro selfmonng[3829]: W child returned status: exit='0' signal='0'
Reply
  • 0 in reply to UrsWeiss
    I am also getting alerts that Snort has stopped working and had to be restarted.

    Since installing Friday night (3/2), alerts indicate snort has been restarted:

    3/2 - 11:01 pm

    3/3 - 2:21 am
            11:29 pm

    3/4 - 3:30 am
            5:50 am


    Self monitoring log for today: 

    2012:03:04-03:30:09 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 1 - 3

    2012:03:04-03:30:29 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 2 - 3

    2012:03:04-03:30:49 astaro selfmonng[3829]: W check Failed increment snort_inline_running counter 3 - 3

    2012:03:04-03:30:49 astaro selfmonng[3829]: Snort not running - restarted

    2012:03:04-03:30:49 astaro selfmonng[3829]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 sent

    2012:03:04-03:30:49 astaro selfmonng[3829]: W triggerAction: 'cmd'

    2012:03:04-03:30:49 astaro selfmonng[3829]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

    2012:03:04-03:30:55 astaro selfmonng[3829]: W child returned status: exit='0' signal='0'

    2012:03:04-03:41:35 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 1 - 3

    2012:03:04-03:41:55 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 2 - 3

    2012:03:04-03:42:15 astaro selfmonng[3829]: W check Failed increment snort_inline_running counter 3 - 3

    2012:03:04-03:42:15 astaro selfmonng[3829]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 suppressed

    2012:03:04-03:42:15 astaro selfmonng[3829]: W triggerAction: 'cmd'

    2012:03:04-03:42:15 astaro selfmonng[3829]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

    2012:03:04-03:42:21 astaro selfmonng[3829]: W child returned status: exit='0' signal='0'

    2012:03:04-05:49:22 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 1 - 3

    2012:03:04-05:49:42 astaro selfmonng[3829]: I check Failed increment snort_inline_running counter 2 - 3

    2012:03:04-05:50:02 astaro selfmonng[3829]: W check Failed increment snort_inline_running counter 3 - 3

    2012:03:04-05:50:02 astaro selfmonng[3829]: Snort not running - restarted

    2012:03:04-05:50:02 astaro selfmonng[3829]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 sent

    2012:03:04-05:50:02 astaro selfmonng[3829]: W triggerAction: 'cmd'

    2012:03:04-05:50:02 astaro selfmonng[3829]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

    2012:03:04-05:50:08 astaro selfmonng[3829]: W child returned status: exit='0' signal='0'
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?