Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 25539 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[INFO-115] Snort restart today

thomas_brewster
Anyone else noticing multiple units getting snort restarts today (2014-11-17).
We've had three different UTMs report multiple snort restarts this morning.

[INFO-115] Snort not running - restarted
Snort not running - restarted

Also noticing some new IPS hits on one of these units;
(smtp) Attempted response buffer overflow: ???? chars

Regards,
Thomas


This thread was automatically locked due to age.
Parents
  • 0
    We also had those restarts yesterday and got problems with connections from IPSec VPN to our SSL/TLS-enabled Webservers which responded HTTP 408. I had to skip IPS completly for those source networks - now this works for the moment.
    We're on Pattern version 70426 on 9.300-5

    Also getting lots of the following snort messages (all IPs are internal IPs behind the firewall not on the internet)
    2014:11:18-10:35:52 seth-2 snort[31725]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.30.100 56154 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:40:08 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048601 bytes (server queue). 10.1.20.44 38178 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:41:12 seth-2 snort[31726]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.20.42 37790 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:41:12 seth-2 snort[31725]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.20.41 51980 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:41:54 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048760 bytes (server queue). 10.1.20.45 43635 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:42:58 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048863 bytes (server queue). 10.1.20.43 58492 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:44:11 seth-2 snort[31725]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.30.11 34181 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned 5 sessions from cache for memcap. 48 scbs remain.  memcap: 8405960/8388608
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned 5 sessions from cache for memcap. 43 scbs remain.  memcap: 8409743/8388608
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned 5 sessions from cache for memcap. 38 scbs remain.  memcap: 8422173/8388608
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned session from cache that was using 1123571 bytes (memcap/check). 10.1.20.44 38178 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned 3 sessions from cache for memcap. 35 scbs remain.  memcap: 7302513/8388608
    2014:11:18-11:35:03 seth-2 snort[31725]: S5: Session exceeded configured max bytes to queue 1048576 using 1048737 bytes (server queue). 10.1.20.38 37328 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:39:02 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048843 bytes (server queue). 10.1.20.40 50447 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:39:02 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048754 bytes (server queue). 10.1.20.39 34340 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:39:53 seth-2 snort[31726]: S5: Pruned session from cache that was using 1114850 bytes (stale/timeout). 10.1.20.39 34340 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:39:53 seth-2 snort[31726]: S5: Pruned session from cache that was using 1115857 bytes (stale/timeout). 10.1.20.40 50447 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:43:03 seth-2 snort[31726]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.20.46 46653 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
  • 0 in reply to guawhitehawk
    If you start a support case, they do say they have a workaround patch. The other fix will be released "in a future firmware update."
Reply Children
No Data