Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1104 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

inline antivirus failures

msalivar
We have a UTM ASG320.

About a month ago, we had a problem using dual scan where every email would get dropped into quarantine if Avira was scanning it.  Sophos support suggested increasing the pattern update interval, but the problem recurred a week later and I disabled the Avira engine.

This weekend the Sophos engine started causing every email to drop into a blackhole.  The only email showing in the SMTP log are those blocked by RBL, nothing even got quarantined.  I saw the SMTP connections in the live log, but nothing in the SMTP log.

So now I'm stuck running without inline AV.

Has anyone seen a problem like this?  I'm on the latest version 9.313 (updated from 9.312 as troubleshooting).  There are some other issues like the HTTP service occasionally dying and getting restarted by the watchdog.  I'm really suspecting a hardware failure of some sort, but I'm waiting for Sophos support to respond to my case.


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    These are not problems reported by anyone else.

    I can't help but suspect that the issue is with data storage and that something in the configuration is scrambled.  You can do a random read-only test as root with:

    badblocks -sv /dev/sda


    (See BarryG's post about this seven years ago.)  If that doesn't produce an error message after scanning the disk, you can consider trying to restore one of the backups below.

    I would be tempted to get some configuration backups from before each of the last AV incidents, anticipating that Support will want to have you re-image from ISO first before they do an RMA.  You might want to display changes on the 'Management' page and capture the details before re-imaging.

    Cheers - Bob
    PS I prefer to configure and send automatic backups often enough that I can go back three backups and still see all of the changes made since the oldest of the three.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thank you, I'm going to try that and a memory test.  So far SMART seems fine.  The tech is telling me a lot of people had this problem with a certain pattern update, but something seems wrong here.
Unfiltered HTML