Are you running snort as root also, or are you dropping privs?  Also what flavor of linux are you running?<br><br><div class="gmail_quote">On Mon, Feb 8, 2010 at 4:58 PM, Andy Berryman <span dir="ltr"><<a href="mailto:aberryman@...14758...">aberryman@...14758...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">








<div link="blue" vlink="purple" lang="EN-US">

<div>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">Yes, I am. </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">-bash-2.05b# whoami</span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">root</span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">-bash-2.05b#</span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">Thanks,</span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">Andy </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<div style="border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; border-width: 1pt medium medium; padding: 3pt 0in 0in;">

<p class="MsoNormal"><b><span style="font-size: 10pt;">From:</span></b><span style="font-size: 10pt;"> Matt Watchinski
[mailto:<a href="mailto:mwatchinski@...1935..." target="_blank">mwatchinski@...1935...</a>] <br>
<b>Sent:</b> Monday, February 08, 2010 3:56 PM<br>
<b>To:</b> Andy Berryman<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Can't make snort create a core file when it
segfaults.</span></p>

</div><div><div></div><div class="h5">

<p class="MsoNormal"> </p>

<p class="MsoNormal" style="margin-bottom: 12pt;">Are you running ulimit as root?<br>
<br>
Cheers,<br>
-matt</p>

<div>

<p class="MsoNormal">On Mon, Feb 8, 2010 at 4:51 PM, Andy Berryman <<a href="mailto:aberryman@...14758..." target="_blank">aberryman@...14764......</a>> wrote:</p>

<div>

<div>

<p class="MsoNormal">One
of my test boxes is segfaulting regularly. When it does, I can't make it create
a core dump into a file. I've google'd and not found any answers. </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">I
run "ulimit -c 1000000" </p>

<p class="MsoNormal">Then
I run "ulimit -a" to see that it's set the file size correctly. </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">Then
snort will segfault and I'll run "ulimit -a" and the file size will
be back at zero again. I do a search of my file system with "find / -name
'*core*' and nothing comes back. </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">Any
suggestions? </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">It's
this error every time in the syslog when it happens. </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: "Courier New";">Feb  8 20:43:13 (none)
kernel: snort[29313]: segfault at a ip 08079700 sp bfa8ac98 error 4 in
snort[8048000+a1000]</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: "Courier New";"> </span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: "Courier New";">Feb  8 20:43:43 (none)
kernel: snort[29510]: segfault at a ip 08079700 sp bfb30c18 error 4 in
snort[8048000+a1000]</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: "Courier New";"> </span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: "Courier New";">Feb  8 21:04:54 (none)
kernel: snort[29547]: segfault at a ip 08079700 sp bfbb05e8 error 4 in
snort[8048000+a1000]</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: "Courier New";"> </span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: "Courier New";">Feb  8 21:06:24 (none)
kernel: snort[30630]: segfault at a ip 08079700 sp bf888348 error 4 in
snort[8048000+a1000]</span></p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">It'll
do it every couple seconds, or it'll run for about 20 min and do it or an hour
and do it. It's not predictable that I can tell. </p>

<p class="MsoNormal">I've
disabled it loading the so_rules and that didn't work, then I disabled it
loading all the other rules and that didn't work either. I read somewhere that
it could be the wrong precompiled rules being used, so I deleted the
snort_dynamicrules file and that didn't work either. </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">Thanks,</p>

<p class="MsoNormal">Andy
Berryman</p>

<p class="MsoNormal">Cymtec
Systems</p>

<p class="MsoNormal"><a href="mailto:support@...14758..." target="_blank">support@...14758...</a></p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"> </p>

</div>

</div>

<p class="MsoNormal"><br>
------------------------------------------------------------------------------<br>
The Planet: dedicated and managed hosting, cloud storage, colocation<br>
Stay online with enterprise data centers and the best network in the business<br>
Choose flexible plans and management services without long-term contracts<br>
Personal 24x7 support from experience hosting pros just a phone call away.<br>
<a href="http://p.sf.net/sfu/theplanet-com" target="_blank">http://p.sf.net/sfu/theplanet-com</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users%0ASnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></p>

</div>

<p class="MsoNormal"><br>
<br clear="all">
<br>
-- <br>
Matthew Watchinski<br>
Sr. Director Vulnerability Research Team (VRT)<br>
Sourcefire, Inc.<br>
Office: 410-423-1928<br>
<a href="http://vrt-sourcefire.blogspot.com" target="_blank">http://vrt-sourcefire.blogspot.com</a>
&& <a href="http://www.snort.org/vrt/" target="_blank">http://www.snort.org/vrt/</a></p>

</div></div></div>

</div>


</blockquote></div><br><br clear="all"><br>-- <br>Matthew Watchinski<br>Sr. Director Vulnerability Research Team (VRT)<br>Sourcefire, Inc.<br>Office: 410-423-1928<br><a href="http://vrt-sourcefire.blogspot.com">http://vrt-sourcefire.blogspot.com</a> && <a href="http://www.snort.org/vrt/">http://www.snort.org/vrt/</a><br>