<div dir="ltr"><div>Hi Hui,<br><br>Thank you for the response.  I'm building snort as an RPM with a couple of small changes in the SPEC provided by the 2.9.5.3 distribution.  The only configure options I have specified are:<br>

<br>SNORT_BASE_CONFIG="--prefix=%{_prefix} \<br>                   --bindir=%{_sbindir} \<br>                   --sysconfdir=%{_sysconfdir}/snort \<br>                   --with-libpcap-includes=%{_includedir} \<br>                   --enable-targetbased \<br>

                   --enable-perfprofiling"<br><br></div><div>Is --disable-corefiles on by default?  <br><br>I've continued to run 2.9.5.3 on our development server and haven't seen a segfault since 9/13 without any real changes on my end.  Is it possible that there was a bad rule causing these segfaults that was eliminated?<br>

</div><div><br><br></div><div>Cheers,<br><br>Bill<br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Sep 23, 2013 at 3:34 PM, Hui Cao <span dir="ltr"><<a href="mailto:hcao@...402..." target="_blank">hcao@...402...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">HI Bill,<br>
<br>
Thanks for the information. When you do  ./configure, have you enabled<br>
the following options?<br>
  --disable-corefiles      Prevent Snort from generating core files<br>
<br>
<br>
Best,<br>
Hui.<br>
<div><div class="h5"><br>
On Fri, Sep 13, 2013 at 12:29 PM, Bill Bernsen <<a href="mailto:bill.bernsen@...3436...">bill.bernsen@...3436...</a>> wrote:<br>
> Hi All,<br>
><br>
> I just recently upgraded our snort stack and have been encountering sporadic<br>
> segfaults.  We run 16 instances of snort and there's been a segfault in a<br>
> single instance on 8/27, 9/6, 9/9, 9/10, 9/11, and 9/13.<br>
><br>
> A side issue is that I haven't been able to cause snort to core dump.  I'm<br>
> running CentOS 6.  In snortd, the DAEMON_COREFILE_LIMIT='unlimited' was<br>
> added.  In /etc/security/limits.conf, we added * - core unlimited.  I've<br>
> tried changing fs.suid_dumpable with 0, 1, and 2 settings.  For fun, I tried<br>
> commenting out the default of no core dumps in /etc/profile.  And have<br>
> attempted to set the core_pattern to both "core" (sending to the snort home<br>
> directory which it is the owner of), "/tmp/core", and abrt.  I've confirmed<br>
> in /proc/{pid}/limits that core dumps are soft/hard unlimited for each snort<br>
> process.  After all these changes, I still can't get SIGSEGV or SIGQUIT  to<br>
> core dump.<br>
><br>
> The best I've been able to do is narrow down the problem area to mstring.c<br>
> using the kernel error messages.  For reference, the stack is:<br>
><br>
> Snort - 2.9.5.3<br>
> DAQ - 2.0.1<br>
> libpcap - 1.3.0 with --dag-enabled<br>
> dag - 4.2.4 (for our endace card)<br>
><br>
> These segfaults have happened in both the cert-forensics RPM of snort and<br>
> our own homegrown package.  Has anyone else run into these issues and<br>
> figured out any way to solve them?  It would be awesome if there was a magic<br>
> bullet for the segfaults, but I'd be happy to just get core dumps working to<br>
> narrow down what's causing this.<br>
><br>
> Running 16 screens attaching gdb to snort instances isn't fun - especially<br>
> since those snort instances are killed every 6 hours by the updater.<br>
><br>
> Cheers,<br>
><br>
> Bill<br>
><br>
> --<br>
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br>
> Bill Bernsen                                                    Network<br>
> Security Analyst<br>
> ITS Technology Security Services, New York University<br>
> <a href="http://www.nyu.edu/its/security" target="_blank">http://www.nyu.edu/its/security</a><br>
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br>
><br>
</div></div>> ------------------------------------------------------------------------------<br>
> LIMITED TIME SALE - Full Year of Microsoft Training For Just $49.99!<br>
> 1,500+ hours of tutorials including VisualStudio 2012, Windows 8, SharePoint<br>
> 2013, SQL 2012, MVC 4, more. BEST VALUE: New Multi-Library Power Pack<br>
> includes<br>
> Mobile, Cloud, Java, and UX Design. Lowest price ever! Ends 9/20/13.<br>
> <a href="http://pubads.g.doubleclick.net/gampad/clk?id=58041151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=58041151&iu=/4140/ostg.clktrk</a><br>
> _______________________________________________<br>
> Snort-devel mailing list<br>
> <a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...2969....sourceforge.net</a><br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
> Archive:<br>
> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br><br clear="all"><br>-- <br><div dir="ltr">~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br><div>
Bill Bernsen                                                    Network Security Analyst<br>
ITS Technology Security Services, New York University<br>
<a href="http://www.nyu.edu/its/security" target="_blank">http://www.nyu.edu/its/security</a><br>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~</div></div>
</div>