<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Dheeraj,<div><br></div><div>Sorry for taking a while to get back to you.  Can you try and redownload the ruleset and let me know your results?</div><div><br></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; ">--</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; "><b>Joel Esler</b></span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Senior Research Engineer, VRT</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">OpenSource Community Manager</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Sourcefire</span></div><div><font face="Lucida Grande"><span style="font-size: 12px;"><br></span></font><div><div>On Apr 19, 2013, at 5:07 AM, Dheeraj Gupta <<a href="mailto:dheeraj.gupta4@...2499...">dheeraj.gupta4@...2499...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr">Hi,<div>I am running Snort-2.9.4 (as IDS) on a couple of different sensors. I am a registered user and my rule updates happen automatically (every night). Yesterday I installed the ruleset released on 19th March,2013 and today I have been seeing the following wierd behaviour on my sensors</div>
<div><br></div><div>1. Snort stops logging alerts/stats and goes into an infinite loop (sort of) - It keeps running but CPU usage is 100% (on normal days, it is not more than 40%)</div><div>2. Trying to attach an strace shows no calls are being made</div>
<div><div>#strace -p 8761</div><div>Process 8761 attached - interrupt to quit</div></div><div><br></div><div>3. The process status shows RUNNING</div><div><div>#cat /proc/8761/status</div><div>Name:<span class="" style="white-space:pre">       </span>snort</div>
<div>State:<span class="" style="white-space:pre">      </span>R (running)</div><div>Tgid:<span class="" style="white-space:pre">   </span>8761</div><div>Pid:<span class="" style="white-space:pre">   </span>8761</div><div>PPid:<span class="" style="white-space:pre">  </span>1452</div>
<div>TracerPid:<span class="" style="white-space:pre">  </span>0</div><div>Uid:<span class="" style="white-space:pre">      </span>498<span class="" style="white-space:pre">       </span>498<span class="" style="white-space:pre">       </span>498<span class="" style="white-space:pre">       </span>498</div>
<div>Gid:<span class="" style="white-space:pre">        </span>501<span class="" style="white-space:pre">       </span>501<span class="" style="white-space:pre">       </span>501<span class="" style="white-space:pre">       </span>501</div><div>Utrace:<span class="" style="white-space:pre"> </span>0</div>
<div>FDSize:<span class="" style="white-space:pre">     </span>64</div><div>Groups:<span class="" style="white-space:pre">  </span>501 </div><div>VmPeak:<span class="" style="white-space:pre">   </span> 1055828 kB</div><div>VmSize:<span class="" style="white-space:pre"> </span> 1055828 kB</div>
<div>VmLck:<span class="" style="white-space:pre">      </span>       0 kB</div><div>VmHWM:<span class="" style="white-space:pre">   </span>  946344 kB</div><div>VmRSS:<span class="" style="white-space:pre">     </span>  946344 kB</div>
<div>VmData:<span class="" style="white-space:pre">     </span>  758828 kB</div><div>VmStk:<span class="" style="white-space:pre">     </span>     680 kB</div><div>VmExe:<span class="" style="white-space:pre">        </span>    1272 kB</div>
<div>VmLib:<span class="" style="white-space:pre">      </span>    5808 kB</div><div>VmPTE:<span class="" style="white-space:pre">        </span>     660 kB</div><div>VmSwap:<span class="" style="white-space:pre">       </span>       0 kB</div>
<div>Threads:<span class="" style="white-space:pre">    </span>2</div><div>SigQ:<span class="" style="white-space:pre">     </span>0/30508</div><div>SigPnd:<span class="" style="white-space:pre">     </span>0000000000000000</div><div>
ShdPnd:<span class="" style="white-space:pre">        </span>0000000000000000</div><div>SigBlk:<span class="" style="white-space:pre">    </span>0000000000000000</div><div>SigIgn:<span class="" style="white-space:pre">    </span>0000000001001000</div>
<div>SigCgt:<span class="" style="white-space:pre">     </span>0000000180404a07</div><div>CapInh:<span class="" style="white-space:pre">    </span>0000000000000000</div><div>CapPrm:<span class="" style="white-space:pre">    </span>0000000000000000</div>
<div>CapEff:<span class="" style="white-space:pre">     </span>0000000000000000</div><div>CapBnd:<span class="" style="white-space:pre">    </span>ffffffffffffffff</div><div>Cpus_allowed:<span class="" style="white-space:pre">      </span>f</div>
<div>Cpus_allowed_list:<span class="" style="white-space:pre">  </span>0-3</div><div>Mems_allowed:<span class="" style="white-space:pre">   </span>00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000001</div>
<div>Mems_allowed_list:<span class="" style="white-space:pre">  </span>0</div><div>voluntary_ctxt_switches:<span class="" style="white-space:pre">  </span>26783748</div><div>nonvoluntary_ctxt_switches:<span class="" style="white-space:pre">        </span>741599</div>
</div><div><br></div><div>4. The stack trace remains</div><div><div># cat /proc/8761/stack</div><div>[<ffffffff8100bc8e>] apic_timer_interrupt+0xe/0x20</div><div>[<ffffffffffffffff>] 0xffffffffffffffff</div></div>
<div><br></div><div>5. Terminating snort will not display the usual terminating screen stats, but will straight-away close snort</div><div><br></div><div>Background - </div><div>OS - Scientific Linux 6.2</div><div>I run snort through supervisor (Python) (so that it can be easily managed) and the command I use is </div>
<div>"/usr/local/bin/snort --daq afpacket --daq-var buffer_size_mb=180 -i eth2 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort -F /etc/snort/filter.bpf --treat-drop-as-alert"<br></div><div><br></div>
<div>Running snort through command line in daemon mode (-D) also results in same "freeze" although the time of freeze is unpredictable (snort may run fine for an hour and then lock up)</div><div><br></div><div>I can confirm that before this issue, ver-2.9.4 had been running for more than a month without any problems. I have not changed the config file at all and till yesterday everything was fine. Two sensors (different hardwares) running the same OS & snort versions have had the same issue. So I suspect new rules added in the mentioned update may be causing this behavior</div>
<div><br></div><div><br></div><div>Regards,<br></div><div>Dheeraj</div></div>
------------------------------------------------------------------------------<br>Precog is a next-generation analytics platform capable of advanced<br>analytics on semi-structured data. The platform includes APIs for building<br>apps and a phenomenal toolset for data science. Developers can use<br>our toolset for easy data analysis & visualization. Get a free account!<br><a href="http://www2.precog.com/precogplatform/slashdotnewsletter_______________________________________________">http://www2.precog.com/precogplatform/slashdotnewsletter_______________________________________________</a><br>Snort-users mailing list<br>Snort-users@lists.sourceforge.net<br>Go to this URL to change user options or unsubscribe:<br>https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users list archive:<br>http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users<br><br>Please visit http://blog.snort.org to stay current on all the latest Snort news!</blockquote></div><br></div></body></html>