Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 43 replies
  • Subscribers 0 subscribers
  • Views 32513 views
  • Users 0 members are here
Options
Suggested

[9.091][BUG] segfault httpproxy

utm_kid
Hello ,
snort crash

2013:04:17-10:50:21 acenn kernel: [61956.898097] Out of memory: Kill process 6061 (httpproxy) score 223 or sacrifice child
2013:04:17-10:50:21 acenn kernel: [61956.898144] Killed process 6061 (httpproxy) total-vm:2301612kB, anon-rss:571076kB, file-rss:0kB

and 

2013:04:17-11:52:42 acenn kernel: [65706.222322] httpproxy[15042]: segfault at 78 ip 0000000008063b3e sp 00000000f077cc30 error 4 in httpproxy[8048000+61000]
2013:04:17-11:54:21 acenn kernel: [65804.101730] httpproxy[27647]: segfault at 78 ip 0000000008063b3e sp 00000000e4f42c30 error 4 in httpproxy[8048000+61000]
2013:04:17-11:59:14 acenn kernel: [66096.699419] httpproxy[27991]: segfault at 78 ip 0000000008063b3e sp 00000000ebf03c30 error 4 in httpproxy[8048000+61000]



[HTML]  bt full
#0  0x08063b3e in ?? ()
No symbol table info available.
#1  0xf76f5267 in ssl_check_clienthello_tl***t_early ()
   from /usr/lib/libssl.so.1.0.0
No symbol table info available.
#2  0xf76e1c18 in ssl3_get_client_hello () from /usr/lib/libssl.so.1.0.0
No symbol table info available.
#3  0xf76e31d9 in ssl3_accept () from /usr/lib/libssl.so.1.0.0
No symbol table info available.
#4  0xf77066ea in SSL_accept () from /usr/lib/libssl.so.1.0.0
No symbol table info available.
#5  0xf76f1e19 in ssl23_get_client_hello () from /usr/lib/libssl.so.1.0.0
No symbol table info available.
#6  0xf76f2740 in ssl23_accept () from /usr/lib/libssl.so.1.0.0
No symbol table info available.
#7  0xf76f3bde in ssl23_read () from /usr/lib/libssl.so.1.0.0
No symbol table info available.
#8  0xf7705e59 in SSL_read () from /usr/lib/libssl.so.1.0.0
No symbol table info available.
#9  0x08060670 in ?? ()
No symbol table info available.
#10 0x08054dca in epoll_fill_buffer ()
No symbol table info available.
---Type  to continue, or q  to quit---
#11 0x080553cc in epoll_read_until ()
No symbol table info available.
#12 0x080789d2 in read_request_headers ()
No symbol table info available.
#13 0x08057e68 in ?? ()
No symbol table info available.
#14 0xf74a493f in ?? () from /usr/lib/libglib-2.0.so.0
No symbol table info available.
#15 0xf7305809 in start_thread () from /lib/libpthread.so.0
No symbol table info available.
#16 0xf726b30e in clone () from /lib/libc.so.6
No symbol table info available.
Backtrace stopped: Not enough registers or memory available to unwind further
(gdb) 
 [/HTML]
Parents
  • 0 in reply to BarryG
    How much RAM is in the system?

    Barry

    Sir , i have two gb ram 

    all windoes related snort rules are off 

    http://www.astaro.org/beta-versions/utm-9-1-public-beta/45956-9-060-myth-snort-crash-out_of_memory.html

    thanks
  • 0 in reply to utm_kid
    Is your local content database enabled? Disable it and enable regular IPS rules that you need. I have never run out of ram in that configuration. My snort uses about 400M and Http proxy uses about 250M. I use application control for QoS, reverse proxy, smtp, wifi and single scan AV. Only thing that I don't use is sophos endpoint control since uri scanning uses even more ram[:(] and is pointless if you are using local content db in home environment.

    Also there is some kind of problem with memory usage with local content database that I reported in another thread.
  • 0 in reply to Billybob
    Is your local content database enabled? Disable it and enable regular IPS rules that you need. I have never run out of ram in that configuration. My snort uses about 400M and Http proxy uses about 250M. I use application control for QoS, reverse proxy, smtp, wifi and single scan AV. Only thing that I don't use is sophos endpoint control since uri scanning uses even more ram[:(] and is pointless if you are using local content db in home environment.

    Also there is some kind of problem with memory usage with local content database that I reported in another thread.



    Is the memory leak still a problem with the recently released 9.092?  I haven't installed upgraded mince to 9.091 because of this and a couple other problems I see users posting about...
  • 0 in reply to arch113
    Is the memory leak still a problem with the recently released 9.092?  I haven't installed upgraded mince to 9.091 because of this and a couple other problems I see users posting about...


    Nevermind, got my answer:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/65126
  • 0 in reply to arch113
    hi  , 

    i disable local database as per you idea but it did not help me 

     17:55pm  up 1 day  2:07,  1 user,  load average: 0.35, 0.69, 0.95

    acenn:/home/login # ls -l /var/chroot-http/var/pattern/sfcontrol/sfcontrol 
    -rw------- 1 httpproxy httpproxy 397100072 Apr 19 05:19 /var/chroot-http/var/pattern/sfcontrol/sfcontrol


    still i am getting out of memeoy with snort and httpproxy 



    2013:04:21-08:26:57 acenn kernel: [59843.613815] Killed process 6055 (httpproxy) total-vm:1777504kB, anon-rss:294536kB, file-rss:0kB

    2013:04:21-16:08:16 acenn kernel: [87464.557565] Out of memory: Kill process 6246 (snort_inline) score 189 or sacrifice child

    i am i am using too much of snort and too many feature 

    thx
  • 0 in reply to arch113
    Originally Posted by oldeda  
    2013:04:21-16:10:15 oldeda kernel: [12314.077568] httpproxy[7408]: segfault at 78 ip 0000000008063b3e sp 00000000f1768c30 error 4 in httpproxy[8048000+61000]
    2013:04:21-16:52:20 oldeda kernel: [14838.370696] httpproxy[20082]: segfault at 78 ip 0000000008063b3e sp 00000000f3ecac30 error 4 in httpproxy[8048000+61000]
    2013:04:21-17:58:15 oldeda kernel: [ 59.096268] u32 classifier
    2013:04:21-17:58:15 oldeda kernel: [ 59.096272] input device check on
    2013:04:21-17:58:15 oldeda kernel: [ 59.096274] Actions configured
    2013:04:21-17:58:15 oldeda kernel: [ 59.116823] Mirror/redirect action on
    2013:04:21-17:58:27 oldeda kernel: [ 70.490942] NF_TPROXY: Transparent proxy support initialized, version 4.1.0
    2013:04:21-17:58:27 oldeda kernel: [ 70.490947] NF_TPROXY: Copyright (c) 2006-2007 BalaBit IT Ltd.
    2013:04:21-17:58:37 oldeda kernel: [ 80.549859] hwinfo: vm86 mode not supported on 64 bit kernel
    2013:04:21-17:58:37 oldeda kernel: [ 80.601850] netlink: 12 bytes leftover after parsing attributes.
    2013:04:21-17:59:33 oldeda kernel: [ 136.714774] NET: Registered protocol family 24
    2013:04:21-17:59:39 oldeda kernel: [ 142.506229] netlink: 12 bytes leftover after parsing attributes.

    As posted by Olsi here: https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/64996
  • 0 in reply to Tinkerbell
    Hi Olsi/Shrikant,

    Do you happen to have a coredump caused by this segfault?
    thanks,
    Bianca
Reply Children
Unfiltered HTML