Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 34 replies
  • Subscribers 2 subscribers
  • Views 106880 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

CRITICAL: Astaro stopped working ! Disable Intrusion Protection !

buddy007
At the moment, we experience problems with two IPS patterns that were uploaded to our gateways last night.

Status update and instructions how to fix it:

- a new, fixed  IPS pattern version is on all Up2Date servers

- currently we see that the affected machines are not able to fetch this new IPS pattern update

- please fix the issue by login the WebAdmin via https://YOUR_ASG_IP:4444

- go to left menu item “Network Security”

- go to sub menu item “Intrusion Prevention”

- go to the last tab “Advanced”

- click on the green “+” sign under “Modified rules”

- enter under “Rule ID”: 15851 and check “Disable this rule”

- click “Save”

- click again on the green “+” sign under “Modified rules”

- enter under “Rule ID”: 16576 and check “Disable this rule”

- click “Save”


This will remove the broken rules but IPS is still activated.

The new pattern update will be installed within minutes.

Please do NOT deactivate IPS, because then the new IPS rules will not be fetched and installed.



Mit freundlichen Grüßen / Kind regards,

Astaro Technical Support Team


This thread was automatically locked due to age.
  • 0
    Yes I can confirm that this is a problem for me as well.
  • 0
    Had the same issue, however I could still access the webadmin console to turn IPS off.

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39671
  • 0
    Yep. Me too. All three of my networks on different circuits went down at the same time around midnight. Been pulling my hair. Thanks for the quick fix. But,  hate to leave Intrusion Prevention off for very long.

    Hopefully Astaro will have a fix?  Weill submit trouble ticket...
  • 0
    Cool, also reported the same thing just a moment ago :-D

    Do you know if the Astaro sites (all of them) where down too? Couldn't access them a half hour ago.

    That would be at least a small funny thing, and they may do better testing on pattern updates....
  • 0
    Yeah they have been down for the last 3hrs. I've been standing by pinging them waiting to see if this error was affecting others.
  • 0
    Can confirm that our Firewall also died but after turning off IPS we're up!
  • 0
    I could not access any of the Astaro sites until now. I saw this issue on V8 box other day thought it was flaking out All our production sites went down at 12:15am EST.
  • 0
    I could not get to Astaro.com/org/portal either. I was thinking perhaps the boxes were doing some sort of lookup and with the Mothership being down, somehow it was causing all the barfing. I was racking my brain over this for three hours, dealing with different circuits and routers and cables etc to rule things out.  I was about 2 seconds away from restoring a prior backup to see if it was version related. I knew I had not done a System Up2Date in quite a while though so I wasnt convinced even a prior restore would help. Never would have thought a simple Pattern Up2Date would basically render both the LAN and WAN useless.

    Thanks for the temp fix until Astaro chimes in. I never would have gotten to the bottom of it.
  • 0 in reply to redoak_01
    Hi!
    Just disable in Intrusion prevention/atack pattern/ malware; DoS/DDoS communication!
  • 0 in reply to UrsWeiss
    Cool, also reported the same thing just a moment ago :-D

    Do you know if the Astaro sites (all of them) where down too? Couldn't access them a half hour ago.

    That would be at least a small funny thing, and they may do better testing on pattern updates....


    Yepp, the Astaro-sites were unreachable, too:
    http://www.astaro.de + http://www.astaro.com + www.astaro.org even if accessed via IP.
    Very curious [:S]

    The pattern-update that was downloaded+applied at 2010:05:07-06:11:01 was the point.
    See Webadmin--> Logging --> View Log Files --> Up2Date messages --> View
    2010:05:07-06:11:02 myhost audld[16187]: patch up2date possible
    2010:05:07-06:11:07 myhost audld[16187]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
    2010:05:07-06:14:16 myhost audld[16187]: >=========================================================================
    2010:05:07-06:14:16 myhost audld[16187]: http://213.144.15.5:80/asg/v7/ips/u2d-ips-7.171-172.patch.tgz.gpg Server Error code=500
    2010:05:07-06:14:16 myhost audld[16187]: 
    2010:05:07-06:14:16 myhost audld[16187]:  1. Modules::Getupdates::sync_local:1151() audld.pl
    2010:05:07-06:14:16 myhost audld[16187]:  2. main:[:D]ownload:707() audld.pl
    2010:05:07-06:14:16 myhost audld[16187]:  3. main::run:414() audld.pl
    2010:05:07-06:14:16 myhost audld[16187]:  4. main::top-level:33() audld.pl
    2010:05:07-06:17:25 myhost audld[16187]: |=========================================================================
    2010:05:07-06:17:25 myhost audld[16187]: http://213.144.15.5:80/asg/v7/ips/u2d-ips-7.171-172.patch.tgz.gpg Server Error code=500
    2010:05:07-06:17:25 myhost audld[16187]: 
    2010:05:07-06:17:25 myhost audld[16187]:  1. Modules::Getupdates::sync_local:1151() audld.pl
    2010:05:07-06:17:25 myhost audld[16187]:  2. main:[:D]ownload:707() audld.pl
    2010:05:07-06:17:25 myhost audld[16187]:  3. main::run:414() audld.pl
    2010:05:07-06:17:25 myhost audld[16187]:  4. main::top-level:33() audld.pl
    2010:05:07-06:17:32 myhost audld[16187]: