Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 21 replies
  • Subscribers 0 subscribers
  • Views 7073 views
  • Users 0 members are here
Options
Suggested

[8.930][BUG] HTTP Proxy messed up, fills up log partition

Sascha Paris
The http proxy seems to have some kind of hiccups. The Proxy fills up the whole logpartition with following entries: 

2012:04:13-22:06:31 asg01 httpproxy[4908]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xfc7c708" function="send_response_body" file="response.c" line="587" message="send: Input/output error"

2012:04:13-22:06:31 asg01 httpproxy[4908]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xfc7c708" function="ssl_log_errors" file="ssl.c" line="54" message="C 192.168.10.208: 3899882352:error:140D00CF:SSL routines:SSL_write[:P]rotocol is shutdown:ssl_lib.c:983:"

2012:04:13-22:06:31 asg01 httpproxy[4908]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xfc7c708" function="send_response_body" file="response.c" line="587" message="send: Input/output error"

2012:04:13-22:06:31 asg01 httpproxy[4908]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xfc7c708" function="ssl_log_errors" file="ssl.c" line="54" message="C 192.168.10.208: 3899882352:error:140D00CF:SSL routines:SSL_write[:P]rotocol is shutdown:ssl_lib.c:983:"

2012:04:13-22:06:31 asg01 httpproxy[4908]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xfc7c708" function="send_response_body" file="response.c" line="587" message="send: Input/output error"

2012:04:13-22:06:31 asg01 httpproxy[4908]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xfc7c708" function="ssl_log_errors" file="ssl.c" line="54" message="C 192.168.10.208: 3899882352:error:140D00CF:SSL routines:SSL_write[:P]rotocol is shutdown:ssl_lib.c:983:"

2012:04:13-22:06:31 asg01 httpproxy[4908]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xfc7c708" function="send_response_body" file="response.c" line="587" message


But everything - even surfing over the webproxy - still works. I had now since 8.930 update twice times to stop the httpproxy and delete the logfile (size 16GB) [:S]
  • 0
    Update: I had now in the meantime 5-6 times the proxy messing up (filling up the http proxy logfile with these SSL Errors).

    I'm trying to evaluate the reason, what may bring the proxy to mess up. From what I see it seems only to happen due one client 192.168.10.208, which is a Laptop in my network with dualboot with Win7 and Ubuntu Linux. The issue from first impression also seems only to happen, when Ubuntu is running.

    I'll post an update, if I find more. FIrst guess was Dropbox, but I could not reproduce this issue with stopping and restarting Dropbox until now. 

    Alternative guess is, that something else is messed up on the Ubuntu installation itself.

    Whatever the reason is, it seems to be able to fill up a http.log file within 1-2 hours to a size of 16GB with these log entries. My usual http.log is far below 100MB/day (Home ASG)
  • 0 in reply to Sascha Paris
    Hi Sascha Paris,

    Is it possible to add .ubuntu.com and .Canonical.com  to http execption and try or you can try reproduce error with apt-get update/upgrade or try to install any package which is around 30-40 mb bigger 

    i had some problem 

    thanks
  • 0
    The best way to evaluate what' happening is by providing a tcpdump

    tcpdump -n -s0 -w PACKETCAPTUREFILENAME.cap port 80 or port 443


    Is this happening for specific websites?

    Have a look at https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70303
  • 0 in reply to wingman
    Hi UTM_KID and Wingman

    My first (Ubuntu) assumption, and your apt assumption seemed to be right.

    I now can reproduce the issue, but TCPDUMP brings nothing helpful, as the issue seems to be triggered by a HTTPS request.

    Steps to reproduce:
    - HTTP Proxy active for HTTP and HTTPS in transparent mode (Sophos AV, URL Filerting)
    - Start a Ubuntu 11.10 Client
    - Log into Desktop
    - Open Software Center

    During opening the software center the proxy messes up and starts filling up the http.log with those SSL errors. The error logging also doesn't stop when I shutdown the Ubuntu Client until httpproxy restart (somehow triggered a erronous loop ?).

    This only works every FIRST time after a fresh reboot and login of the Ubuntu client, but is reproduceable after every new reboot and following the steps above.

    I assume, that the software center sends or receives on first opening after a reboot a special https request, which messes up the proxy (Maybe the optional anonymous usage statisics or something like that ?)
  • 0 in reply to Sascha Paris
    Hi Sascha Paris, 

    If you want to get more this kind of problem  you can add block  twitter or/and facebook   to application contrl and try to browse web site wherer page of some twitter or facebook links 

    thanks
  • 0 in reply to Sascha Paris
    Hi Sascha,

    My first (Ubuntu) assumption, and your apt assumption seemed to be right.

    I now can reproduce the issue, but TCPDUMP brings nothing helpful, as the issue seems to be triggered by a HTTPS request.


    Can you please send me the packet dump together with the http.log of that time?

    Thanks a lot in advance.

    Regards,
    mlenk
  • 0 in reply to mle
    Hi Sascha,



    Can you please send me the packet dump together with the http.log of that time?

    Thanks a lot in advance.

    Regards,
    mlenk


    Hi Micha

    You've got m@il...

    [:D]
  • 0
    Hi Sascha,

    Okay, this seems to be an issue with connections to some Ubuntu servers, very likely to the servers used by the Ubuntu Software Center. The error messages with "C 192.168.10.208: 3899882352:error:140D00CF:SSL routines:SSL_write[:P]rotocol is shutdown:ssl_lib.c:983:" look like the client aborted the SSL connection, e.g. because of an unexpected SSL certificate.

    Can you please create an exception for SSL scanning that matches the destination addresses of the failing requests and check back whether that fixes your issue?

    Regards,
    Micha
  • 0 in reply to mle
    Hi Sascha,

    Okay, this seems to be an issue with connections to some Ubuntu servers, very likely to the servers used by the Ubuntu Software Center. The error messages with "C 192.168.10.208: 3899882352:error:140D00CF:SSL routines:SSL_write[:P]rotocol is shutdown:ssl_lib.c:983:" look like the client aborted the SSL connection, e.g. because of an unexpected SSL certificate.

    Can you please create an exception for SSL scanning that matches the destination addresses of the failing requests and check back whether that fixes your issue?

    Regards,
    Micha


    Hi Micha. I would do so, if the proxy log would tell me the destination IP address. Sadly all SSL errors does not provide dstip in the http.log...[:(]

    Feature Request: Adding dstip or FQN to SSL errors in the logfile [;)]
Unfiltered HTML