FATAL Error

Hadi, you win the prize for being the first one to ever see this error here! [;)]

Really, the only thing I can think of is to make sure you have good configuration backups, reload from CD ROM and restore from backup.

Cheers - Bob

congratulation for me.    looool
[H]   [:D]
Thank you for your guide

Hello Hadi,

Is this a brand new installation or a box that has been running for some time which is now presenting new problems?

That message appears to mean that one of the files related to snort is corrupt somehow, have you tried to edit that file by hand at all? Do you perhaps have SSH enabled with weak passwords set?

Also, what version are you running Hadi?

That file doesn't even exist on my system.

Leaning more and more towards suggesting that you re-image and restore from backup...

That file doesn't even exist on my system.

I'm sure it does exist, in /var/chroot-snort/etc/...

Barry

loginuser@192.168.0.1's password: 
Last login: Fri May 10 21:48:10 2013 from 192.168.42.132


Sophos UTM
(C) Copyrights by Astaro and by others 2000-2013.
For more copyright information look at /doc/astaro-license.txt
or http://www.astaro.com/doc/astaro-license.txt

NOTE: Any modifications done by root will void your support.
      Please use WebAdmin for any configuration changes.

loginuser@utm:/home/login > su
Password: 
utm:/home/login # ls /var/chroot-snort/etc/snort/rules/
classification.config  gen-msg.map         reference.config
decoder.rules          preprocessor.rules
utm:/home/login # find / 2>&1 | grep 'astaro.rules'
utm:/home/login # 





You stand corrected. [;)]

loginuser@utm:/home/login > su
Password: 
utm:/home/login # ls /var/chroot-snort/etc/snort/rules/
classification.config  gen-msg.map         reference.config
decoder.rules          preprocessor.rules
utm:/home/login # find / 2>&1 | grep 'astaro.rules'
utm:/home/login # 

  
Hi Jeff
Yes this has been running and this is a new problem! and my SSH was not enable. Also i didn't edit anything via SSH and i use the WebAdmin always. i Re-install Firmware and restore a backup but i want to know the cause of this Error. Oh by the way Dear Jeff What is these Command??! i didn't understand!?? [:S]

Hadi, That was just to show to Barry that the file in fact doesn't exist on my system.  I'm currently running 9.1, what are you running? If you are on a different version then this may explain why the file doesn't appear on my system.  Regardless, if you can A) open a support ticket with Sophos if you have a support agreement but you may end up re-imaging regardless, or B) you can just re-image. 

Sometimes things do just go wrong. If you have a spare box in available then you can swap the anomalous one out and analyze it but if you need this to work now and it's all you've got, the quickest way is to re-image and restore from backup.

That log message says Fatal Error, but does snort continue to run despite giving you that error message? Posting the entire IPS log would be helpful.  You should see it repeatedly restarting, the system tries to restart failed processes and should email you regarding them, it's curious that you haven't mentioned the emails -- are you receiving them?

re-image and restore from backup

This should take less than 15 minutes from the moment you begin the re-imaging until the system is back up after the reboot with the restore.

• Create a new backup.
  
• To test, restore from that backup.
  
• If that works, copy that backup to a USB stick and copy some other backups off to a safe place.
  
• Re-image using a CDROM.
  
• When the re-imaging is complete, the CD will be ejected from the drive and the console will tell you to remove it and press a key to reboot.  Before rebooting, remove the CD and insert the USB memory stick.
  
• Press a key to reboot.  The configuration should be restored and the system should come up in good shape.

Please let us know your result.

Cheers - Bob

Ok this is my customer problem and i said that do this and reply me. ok i'll share the result