Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 25528 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[INFO-115] Snort restart today

thomas_brewster
Anyone else noticing multiple units getting snort restarts today (2014-11-17).
We've had three different UTMs report multiple snort restarts this morning.

[INFO-115] Snort not running - restarted
Snort not running - restarted

Also noticing some new IPS hits on one of these units;
(smtp) Attempted response buffer overflow: ???? chars

Regards,
Thomas


This thread was automatically locked due to age.
  • 0
    We also had those restarts yesterday and got problems with connections from IPSec VPN to our SSL/TLS-enabled Webservers which responded HTTP 408. I had to skip IPS completly for those source networks - now this works for the moment.
    We're on Pattern version 70426 on 9.300-5

    Also getting lots of the following snort messages (all IPs are internal IPs behind the firewall not on the internet)
    2014:11:18-10:35:52 seth-2 snort[31725]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.30.100 56154 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:40:08 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048601 bytes (server queue). 10.1.20.44 38178 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:41:12 seth-2 snort[31726]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.20.42 37790 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:41:12 seth-2 snort[31725]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.20.41 51980 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:41:54 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048760 bytes (server queue). 10.1.20.45 43635 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:42:58 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048863 bytes (server queue). 10.1.20.43 58492 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-10:44:11 seth-2 snort[31725]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.30.11 34181 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned 5 sessions from cache for memcap. 48 scbs remain.  memcap: 8405960/8388608
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned 5 sessions from cache for memcap. 43 scbs remain.  memcap: 8409743/8388608
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned 5 sessions from cache for memcap. 38 scbs remain.  memcap: 8422173/8388608
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned session from cache that was using 1123571 bytes (memcap/check). 10.1.20.44 38178 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:28:25 seth-2 snort[31726]: S5: Pruned 3 sessions from cache for memcap. 35 scbs remain.  memcap: 7302513/8388608
    2014:11:18-11:35:03 seth-2 snort[31725]: S5: Session exceeded configured max bytes to queue 1048576 using 1048737 bytes (server queue). 10.1.20.38 37328 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:39:02 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048843 bytes (server queue). 10.1.20.40 50447 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:39:02 seth-2 snort[31726]: S5: Session exceeded configured max bytes to queue 1048576 using 1048754 bytes (server queue). 10.1.20.39 34340 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:39:53 seth-2 snort[31726]: S5: Pruned session from cache that was using 1114850 bytes (stale/timeout). 10.1.20.39 34340 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:39:53 seth-2 snort[31726]: S5: Pruned session from cache that was using 1115857 bytes (stale/timeout). 10.1.20.40 50447 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
    2014:11:18-11:43:03 seth-2 snort[31726]: S5: Session exceeded configured max segs to queue 2621 using 2621 segs (server queue). 10.1.20.46 46653 --> 10.1.10.20 514 (0) : LWstate 0x40 LWFlags 0x2101
  • 0 in reply to guawhitehawk
    If you start a support case, they do say they have a workaround patch. The other fix will be released "in a future firmware update."
  • 0
    can you please provide that patch here? otherwise it take ages to a support case to be answered :/
  • 0
    I opened up a case for this yesterday and also included a link to this thread.  They seemed to be well aware of the issue as the tech said he was advised of the problem when he started his shift.

    Here is the case update response I received this morning.

    "Just wanted to update you that the case is being investigated by Global Escalations Team, once an update/patch exists, i will inform you.
    Thank you again for your patience"

    If this is just some incorrect snort rules, why would a firmware update be necessary?
  • 0 in reply to guawhitehawk
    can you please provide that patch here? otherwise it take ages to a support case to be answered :/


    No, I can't, even if I had it.  I was just repeating what support told me.  In the case of the two customers that I had with the issue at the time, I did not want to risk the installation of an untested patch that might destabilize things.  I opted to create some exceptions to get rid of the unwanted notifications.

    Even if I had the patch, typically Sophos Support discourages distribution of patches outside of their ecosystem, and as a reseller I have to honor that.
  • 0 in reply to dcline97
    I opened up a case for this yesterday and also included a link to this thread.  They seemed to be well aware of the issue as the tech said he was advised of the problem when he started his shift.

    Here is the case update response I received this morning.

    "Just wanted to update you that the case is being investigated by Global Escalations Team, once an update/patch exists, i will inform you.
    Thank you again for your patience"

    If this is just some incorrect snort rules, why would a firmware update be necessary?


    Hmm... yesterday they said there was a patch or workaround, but I opted not to do that.

    I think the update that corrupted things corrupted something in Snort that can only be fixed via  manual patch or system up2date -- I recall something like this happening before with some other module, some years ago.
  • 0
    Yeah....btw just reached a new ipsbundle update on my 9.300-5 system: 9.169 with IPS pattern version 70490... don't know if this corrects everything. will test that later

    But strange enough the live log tells me snort has been exited - but WebAdmins traffic light is green (the slider)
  • 0
    Any update on the Snort restarts? I'm still having these since 11/17 and it's also affecting my WAN link traffic.
  • 0 in reply to Hvzq
    Quote from Support this afternoon:

    I just wanted to update you that a new pattern has been released today which should resolve this issue.
  • 0
    Hi all,

    any feedback about the new pattern?
    Does it really work?