<div dir="ltr"><div><div>Alternatively, add this line at the top of your /etc/init.d/snortd file:<br><br>export LD_LIBRARY_PATH=/usr/lib64:$LD_LIBRARY_PATH<br><br></div>Which will cause LD to search /usr/lib64 for libraries first<br>

<br></div>- Bill<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Feb 20, 2014 at 1:18 PM, Richard Harman Jr (rharmanj) <span dir="ltr"><<a href="mailto:rharmanj@...589..." target="_blank">rharmanj@...589...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="font-size:14px;font-family:Calibri,sans-serif;word-wrap:break-word">
<div>
<div>Sounds like this is a linux box, - shared libraries are configured via /etc/ld.so.conf, or /etc/ld.so.conf.d/random_files_here.</div>
<div><br>
</div>
<div>For some reason, the dell utilities with their packaged libraries are being loaded ahead of the system one, so try changing the order of the lines in /etc/ld.so.conf, or add some numbers to the beginning of the files in /etc/ld.so.conf.d.  E.g. If you
 had some oracle install, and it put a "oracle" file in /etc/ld.so.conf.d, try renaming it to "30_oracle".</div>
<div><br>
</div>
<div>Check the order of libraries being loaded with:</div>
<div><br>
</div>
<div>$ ldconfig -v | grep ^/</div>
<div><br>
</div>
<div>It's also possible that since this was compiled, that the binary has the path to the library compiled in.  If tweaking the ld.so.conf stuff doesn't immediately fix it, try recompiling snort after tweaking the ld.so.conf configs.</div>


<div><br>
</div>
<div>Richard</div>
<div>
<div>
<div style="font-family:Consolas;font-size:medium"><br>
</div>
</div>
<br>
</div>
</div>
<div><br>
</div>
<span>
<div style="border-right:medium none;padding-right:0in;padding-left:0in;padding-top:3pt;text-align:left;font-size:11pt;border-bottom:medium none;font-family:Calibri;border-top:#b5c4df 1pt solid;padding-bottom:0in;border-left:medium none">


<span style="font-weight:bold">From: </span>Feroz Basir <<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>><br>
<span style="font-weight:bold">Date: </span>Thursday, February 20, 2014 at 4:42 AM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@...5870....net</a>" <<a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a>><br>


<span style="font-weight:bold">Cc: </span>SnortFan <<a href="mailto:SnortFan@...131..." target="_blank">SnortFan@...131...</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort failed to stay up after upgrade to 2.9.6.0<br>
</div><div><div class="h5">
<div><br>
</div>
<div>
<div>
<div>Hi All,</div>
<div><br>
</div>
<div>Found the problem. For some reason /usr/sbin/snort uses libdnet.so.1 from /opt/dell/srvadmin/lib64/libdnet.so.1 instead of from /usr/lib64/libdnet.so.1 .</div>
<div><br>
</div>
<div>Now, how can I get snort binary to use libdnet from /usr/lib64 instead? </div>
<div><br>
</div>
<div>Thanks.</div>
<div><br>
</div>
<div>Regards,</div>
<div>Feroz Basir</div>
<div><br>
</div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On 20 Feb 2014, at 15:39, Feroz Basir <<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>> wrote:</div>
<div></div>
<div>Hi,</div>
<div></div>
<div>To paste everything is not possible as I have to type one by one. Don't ask why. Don't want to get into it :)</div>
<div></div>
<div>ldconfig -p | grep libdnet</div>
<div>libdnet.so.1 (libc6, x86-64) => /opt/dell/srvadmin/lib64/libdnet.so.1</div>
<div>libdnet.so.1 (libc6, x86-64) => /usr/lib64/libdnet.so.1</div>
<div>libdnet.so (libc6,x86) => /usr/lib64/libdnet.so</div>
<div></div>
<div></div>
<div>snort -c /etc/snort/snort.conf -i eth0</div>
<div>.</div>
<div>.</div>
<div>.</div>
<div>Pcap DAQ configured to passive</div>
<div>Acquiring network traffic from eth0</div>
<div>Reload thread starting</div>
<div>Reload thread started, thread 0x7f7856b0f700</div>
<div>Decoding Ethernet</div>
<div>snort: symbol lookup error: snort: undefined symbol: rand_open</div>
<div>Then back to prompt.</div>
<div></div>
<div>Thanks.</div>
<div></div>
<div>Regards,</div>
<div>Feroz Basir</div>
<div></div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On 20 Feb 2014, at 14:30, Jeremy Hoel <<a href="mailto:jthoel@...979...11827..." target="_blank">jthoel@...11827...</a>> wrote:</div>
<div></div>
<div>If you would really like some help you really need to be more</div>
<div>forthcoming on information.  We can't see the screen in front of you</div>
<div>and single line replies aren't working out.</div>
<div></div>
<div>What commands are you running.  Please paste the command and the</div>
<div>output so we can see what you are seeing and not just get a summery.</div>
<div></div>
<div>You mentioned a problem with libdnet, have you tried 'ldconfig -p</div>
<div>|grep dnet' to see if it's even seen by the system?</div>
<div></div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On Thu, Feb 20, 2014 at 6:19 AM, Feroz Basir <<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>> wrote:</div>
<div>Hi,</div>
<div></div>
<div>I've done checking with ldd. There was no error came back, like I said on my</div>
<div>previous email.</div>
<div></div>
<div>Thanks.</div>
<div></div>
<div>Regards,</div>
<div>Feroz Basir</div>
<div></div>
<div>On 20 Feb 2014, at 10:58, SnortFan <<a href="mailto:SnortFan@...391...31..." target="_blank">SnortFan@...131...</a>> wrote:</div>
<div></div>
<div>Just for grins, cd into the directory where the snort exe is and run: ldd</div>
<div>snort</div>
<div></div>
<div>This will show if you have any lib references messed up. When I did my</div>
<div>upgrade I goofed on a couple of my sensors and performed the upgrade while</div>
<div>still having the older version of snort still running. Yeah, not a good</div>
<div>idea.</div>
<div></div>
<div>Cheers,</div>
<div>Ed</div>
<div></div>
<div>Sent from a mobile device.</div>
<div></div>
<div>On Feb 19, 2014, at 9:17 PM, Feroz Basir <<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>> wrote:</div>
<div></div>
<div>Hi,</div>
<div></div>
<div>I used rpm source from snort website. There was no error on rpmbuild</div>
<div>command.</div>
<div></div>
<div>Thanks.</div>
<div></div>
<div></div>
<div>Regards,</div>
<div>Feroz Basir</div>
<div></div>
<div>On 20 Feb 2014, at 03:15, Jeremy Hoel <<a href="mailto:jthoel@...979...11827..." target="_blank">jthoel@...11827...</a>> wrote:</div>
<div></div>
<div>What us the exact error, not looks like.  You said you compiled this</div>
<div>yourself, did it compile and install ok?</div>
<div></div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On Feb 19, 2014 12:03 PM, "Feroz Basir" <<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>> wrote:</div>
<div></div>
<div>Hi,</div>
<div></div>
<div>My bad. Should have run as root :). Now I'm getting this error:</div>
<div></div>
<div>Snort: symbol lookup error: snort: undefined symbol: rand_open</div>
<div></div>
<div>Googling shows something to do with libdnet. Mine is ver 1.12. lddconfig</div>
<div>-v shown no error.</div>
<div></div>
<div>Thanks.</div>
<div></div>
<div></div>
<div>Regards,</div>
<div>Feroz Basir</div>
<div></div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On 20 Feb 2014, at 02:48, Jeremy Hoel <<a href="mailto:jthoel@...979...11827..." target="_blank">jthoel@...11827...</a>> wrote:</div>
<div></div>
<div>try as root?</div>
<div></div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On Wed, Feb 19, 2014 at 11:47 AM, Feroz Basir <<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>></div>
<div>wrote:</div>
<div>Hi,</div>
<div></div>
<div>I've run snort manually. Now I could see the actual error. See below:</div>
<div></div>
<div>Error: can't start DAQ (-1) - socket: operation not permitted.</div>
<div></div>
<div>My DAQ version is 2.0.2</div>
<div></div>
<div>Any ideas? Thanks again.</div>
<div></div>
<div></div>
<div>Regards,</div>
<div>Feroz Basir</div>
<div></div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On 20 Feb 2014, at 02:01, Jeremy Hoel <<a href="mailto:jthoel@...979...11827..." target="_blank">jthoel@...11827...</a>> wrote:</div>
<div></div>
<div>-T just tests the snort.conf.</div>
<div></div>
<div>For the next test, don't run snort off of init (that's odd that it</div>
<div>doesn't log anything to syslog) and run it in the foreground and see</div>
<div>what's failing) but run it locally:</div>
<div></div>
<div>snort -c /etc/snort/snort.conf -i eth_whatever</div>
<div></div>
<div>See what it says, see if you get too</div>
<div>"Commencing packet processing (pid=????)"</div>
<div></div>
<div>Once you get there, let it run for a bit then cntrl-c to break it,</div>
<div>look at the info presented.</div>
<div></div>
<div></div>
<div></div>
<div></div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On Wed, Feb 19, 2014 at 10:53 AM, Feroz Basir <<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>></div>
<div>wrote:</div>
<div>Hi,</div>
<div></div>
<div>/var/log/messages file shown NIC enter promiscuous mode, then NIC</div>
<div>exit promiscuous mode. Nothing in syslog log file.</div>
<div></div>
<div>Thanks.</div>
<div></div>
<div>Regards,</div>
<div>Feroz Basir</div>
<div></div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On 20 Feb 2014, at 01:22, Jeremy Hoel <<a href="mailto:jthoel@...979...11827..." target="_blank">jthoel@...11827...</a>> wrote:</div>
<div></div>
<div>Do you have any error messages from the syslog?</div>
<div></div>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div>On Wed, Feb 19, 2014 at 10:17 AM, Feroz Basir</div>
<div><<a href="mailto:feroz.basir@...11827..." target="_blank">feroz.basir@...11827...</a>> wrote:</div>
<div>Hi all,</div>
<div></div>
<div>I'm running snort 2.9.4.6. I upgraded to version 2.9.6.0. Smooth</div>
<div>upgrade process, but then when I restarted snortd service, snort process</div>
<div>failed to stay up. Messages log file shown NIC enter promiscuous mode, then</div>
<div>NIC exit promiscuous mode. I've run with -T and everything was OK.</div>
<div></div>
<div>Anybody could help me, please?</div>
<div></div>
<div>Thank you.</div>
<div></div>
<div>Regards,</div>
<div>Feroz Basir</div>
<div></div>
<div>------------------------------------------------------------------------------</div>
<div>Managing the Performance of Cloud-Based Applications</div>
<div>Take advantage of what the Cloud has to offer - Avoid Common</div>
<div>Pitfalls.</div>
<div>Read the Whitepaper.</div>
<div></div>
<div><a href="http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk</a></div>
<div>_______________________________________________</div>
<div>Snort-users mailing list</div>
<div><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a></div>
<div>Go to this URL to change user options or unsubscribe:</div>
<div><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a></div>
<div>Snort-users list archive:</div>
<div><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></div>
<div></div>
<div>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the</div>
<div>latest Snort news!</div>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
<div></div>
<div>------------------------------------------------------------------------------</div>
<div>Managing the Performance of Cloud-Based Applications</div>
<div>Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.</div>
<div>Read the Whitepaper.</div>
<div><a href="http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk</a></div>
<div></div>
<div>_______________________________________________</div>
<div>Snort-users mailing list</div>
<div><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a></div>
<div>Go to this URL to change user options or unsubscribe:</div>
<div><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a></div>
<div>Snort-users list archive:</div>
<div><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></div>
<div></div>
<div>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort</div>
<div>news!</div>
</blockquote>
</blockquote>
</blockquote>
<div><br>
</div>
<div>------------------------------------------------------------------------------</div>
<div>Managing the Performance of Cloud-Based Applications</div>
<div>Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.</div>
<div>Read the Whitepaper.</div>
<div><a href="http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk</a></div>
<div>_______________________________________________</div>
<div>Snort-users mailing list</div>
<div><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a></div>
<div>Go to this URL to change user options or unsubscribe:</div>
<div><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a></div>
<div>Snort-users list archive:</div>
<div><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></div>
<div><br>
</div>
<div>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
<div><br>
</div>
</div>
</div>
</div></div></span>
</div>

<br>------------------------------------------------------------------------------<br>
Managing the Performance of Cloud-Based Applications<br>
Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.<br>
Read the Whitepaper.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>


Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br><br clear="all"><br>-- <br><div dir="ltr">Bill Bernsen                                                    Network Security Analyst<br>

<div>
ITS Technology Security Services, New York University<br>
<a href="http://www.nyu.edu/its/security" target="_blank">http://www.nyu.edu/its/security</a><br>
</div></div>
</div>