Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1530 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro non-responsive... catastrphic failure

SalishSwede
For the second time, I just experienced a catastrophic failure of ASL 5.2.  
Symptoms:
   No services were acknowledged over the network.
   WebAdmin (among them) failed
   Processor was begged with the principle users being:
       mdw_daemon.pl
      confd
      interface.pl
      getconfdobj.pl
      system load was:  2.58   2.36  1.76

I have an ASL 5.2 with 4 interfaces

Services in use:
Web Proxy w/ content filter (w/ virus scanning)
Virus Scanning
Spam Protection
DNS proxy


Unproductive actions taken:
reboot ASL x2
login as root and search logs for problems (nothing found)
restart key services from command line
power off - unplug 10 s then restart

Successful actions taken:
Reinstall ASL 5.2
Restore configuration from backup
note: all data from failure lost


Note:  i had been receiving from SecurityFocus hundreds of emails with executables attached which was making the IDS scream like a banshee.  I unsubscribed from all mailing lists but was still getting these alerts on port 25.  This may be a symptom, a cause, or completely unrelated to this  issue.

Can anyone assist me in isolating this problem?  Has anyone else seen anything like this?

Merci bien!

~Doug


This thread was automatically locked due to age.
Parents
  • 0
    What's the hardwre?
    Was the logging voluminous?
  • 0 in reply to SecApp
    The Hardware: I don't have the details at this desk but... 
     new Intel 2.2Ghz CPU: Average Load is aprox 0.15%
    .5 GB RAM I believe
    40 GB HD

    I'll find the docs and provide complete report.
    The logs don't show much other than the rather constatn barrage of SMPT traffic with executable code attachments (IDS errors) which are subsequently blocked.  

    I sent Symantec\Security Focus several nasty grams regarding these emails.  They appear to be related to the listservers at SecurityFocus.  Here are some examples of the logs: 

    Note: this is an interesting pattern
    10 alerts for SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] 
    followed by 10 alerts for...SHELLCODE x86 NOOP [Classification: Executable code was detected]
    then returning to form a loop...
    One full loop taking 7-8 hrs.

    2005:04:19-09:58:35 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-09:58:35 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-09:58:36 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-09:58:37 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-09:58:40 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-09:58:45 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-09:58:57 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-09:59:19 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-10:00:04 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-10:01:34 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-10:03:34 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:22191 -> 24.41.50.233:25
    2005:04:19-10:59:39 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-10:59:39 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-10:59:40 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-10:59:42 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-10:59:45 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-10:59:51 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-11:00:03 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-11:00:27 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-11:01:16 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-11:02:53 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:27815 -> 24.41.50.233:25
    2005:04:19-15:39:28 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-15:39:28 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-15:39:29 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-15:39:30 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-15:39:33 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-15:39:39 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-15:39:50 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-15:40:13 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-15:41:00 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-15:42:32 (none) snort[4363]: [1:1394:0] D SHELLCODE x86 NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.20:7112 -> 24.41.50.233:25
    2005:04:19-17:14:29 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
    2005:04:19-17:14:29 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
    2005:04:19-17:14:30 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
    2005:04:19-17:14:31 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
    2005:04:19-17:14:34 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
    2005:04:19-17:14:40 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
    2005:04:19-17:14:52 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
    2005:04:19-17:15:17 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
    2005:04:19-17:16:05 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
    2005:04:19-17:17:43 (none) snort[4363]: [1:1390:0] D SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]:  {PROTO006} 205.206.231.26:56929 -> 24.41.50.233:25
  • 0 in reply to SalishSwede
    Which logs do you recommend I examine for spurious behavior?
  • 0 in reply to SalishSwede
    I believe that's the IDS; when you set the system up again, try running with that turned off and see what your uptime is...
Reply Children
  • 0 in reply to SecApp
    Run without IDS?   No, I think not.

    One of the principal values of the Astaro product is the snort implementation (IDS).

    Assessing uptime without it is like checking the fuel efficiency of a car without the back seat.  It may be lighter and thus more efficient, but what's the purpose of having the car in the first place?  Transportation.

    The purpose of ASL is security and the IDS is a critical element.  Also, I'm having major issues with Symantec sending email with executable code attached (the SecurityFocus mailing lists).  They will not tell me what's going on, so it may be they've been compromised themselves or they're implementing spyware that's considerably more sophisticated than web bugs or cookies.  Either way, I'll need snort running to protet the network. [;)]
  • 0 in reply to SalishSwede
    My point was to run without IDS and see if that is what was doing it; if it was, then you repost and ask Astaro wuzzup...
  • 0 in reply to SecApp
    Yeah I understand, but I've run Astaro for a year and it's done this sort of thing twice.  I can't afford to run for months without IDS.

    Thanks for the tip, though.
  • 0 in reply to SalishSwede
    I was getting a ton of NOOP alerts when I was using Outlook 2003 to get mail from my internal POP server when I was on the road. They've gone away completely since moving "down" to Outlook 2002.
    Is there a corelation?
  • 0 in reply to JimmyM
    None that I know of.
    I believe these were legitimate alerts.
    The alerts on my side were SMTP traffic (not POP) to my mail server (MS Exchange) addressed from the listservers at Symantec which manage  the Security Focus lists.  The managers of the lists indicated that they no longer had me on their lists, but I thought it was interesting that they failed to post my incident when I posted it on their list servers.  I suspect they were adding executable spyware to their posts.