Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 25526 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[INFO-115] Snort restart today

thomas_brewster
Anyone else noticing multiple units getting snort restarts today (2014-11-17).
We've had three different UTMs report multiple snort restarts this morning.

[INFO-115] Snort not running - restarted
Snort not running - restarted

Also noticing some new IPS hits on one of these units;
(smtp) Attempted response buffer overflow: ???? chars

Regards,
Thomas


This thread was automatically locked due to age.
  • 0
    So far, I received about 200+ false positives from our internal emailservers.  Called Sophos support and they said they were false positives also.  Snort rule update will be fixed in a few days.  meanwhile, disable rule 1 and 3 but I have no idea what he is talking about...

    TTM
  • 0 in reply to TTM
    Yeah, seeing those same false positives... AFAIK there's not a way to disable those as a rule --
  • 0
    I'm attempting to disable rule "1", "2" and "3" to see if that is a possible workaround.

    Message........: (smtp) Attempted command buffer overflow: more than 512 chars
    Details........: https://www.snort.org/search?query=1

    Message........: (smtp) Attempted data header buffer overflow: 1072 chars
    Details........: https://www.snort.org/search?query=2

    Message........: (smtp) Attempted response buffer overflow: 873 chars
    Details........: https://www.snort.org/search?query=3
  • 0 in reply to thomas_brewster
    I did have a Snort restart this morning. Have not seen any false positives yet.
  • 0
    Started happening at 10:40 this morning so something must trigger it and then it just keeps happening. Getting warnings from two mail servers and also the response from the mail server at the other end throws a warning as part of the email hand-off.
  • 0
    Yeah I've been seeing them all day too, just seems to be when emailing office 365 users.
  • 0 in reply to Ross86
    Yeah I've been seeing them all day too, just seems to be when emailing office 365 users.


    Yep.

    The only workaround I've found thus far for the nuisance messages is to create an exception listing your internal mail server(s) as exceptions in IPS based on source of traffic.  Destination would be difficult to create exceptions for, as there are many servers that Microsoft uses to accept email on.

    Sophos Support has informed me that they've escalated the case.
  • 0 in reply to thomas_brewster
    I'm attempting to disable rule "1", "2" and "3" to see if that is a possible workaround.

    Message........: (smtp) Attempted command buffer overflow: more than 512 chars
    Details........: https://www.snort.org/search?query=1

    Message........: (smtp) Attempted data header buffer overflow: 1072 chars
    Details........: https://www.snort.org/search?query=2

    Message........: (smtp) Attempted response buffer overflow: 873 chars
    Details........: https://www.snort.org/search?query=3


    The above had no effect, I've added an IPS skip on the UTM for our inbound SMTP services. Hopefully Sophos will update their ruleset soon and this can be removed.
  • 0
    Yes, I was bit by this today.  It is taking my WAN link traffic out.  Current pattern version:70396.  Unfortunately, I had to disable Intrusion Prevention until I work this out.

    Edit:  I'm now on Current pattern version: 70402.  Same issues with the Snort Restarts due to the fatal errors regarding the .so files.  I would assume it's something that was pushed as we both started experiencing this today.
  • 0
    Hundreds of these events and a basic shutdown of internet access for my users.  The culprit seems to be: 2014:11:18-14:06:19 UTM snort[16922]: FATAL ERROR: The dynamic detection library "/usr/lib/snort/so_rules//misc.so" version 1.0 compiled with dynamic engine library version 2.1 isn't compatible with the current dynamic engine library "/usr/lib/snort_dynamicengine/libsf_engine.so" version 2.4.

    My only choice is to disable IPS for the time being.