Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 1184 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HELP:Too much memory for singleprocess/load 100%

gnujuba
Hi Astaro,

we need urgent  help:

today i got this mail:
-----------------------------------------------------------------------------------------------
Betreff: [gw01.xxxxx.xx] [WAR 102] Too much memory for a single process
- please check(8 times)

Too much memory for a single process:
258844 kb for /usr/local/bin/fwlogwatch -f /var/log/kernel-20030812.gz -P n -b -m 5 -t -e -n -N -p
root       834 92.6 57.1 258844 257784 ?     RN   06:03 575:59 /usr/local/bin/fwlogwatch -f /var/log/kernel-20030812.gz -P n -b -m 5 -t -e -n -N -p


Last WebAdmin login: admin at Wed Aug 13 16:30:45 from 10.10.254.227 
System Uptime      : 5 days 0 hours 20 minutes
System Load        : 0.90
System Version     : Astaro Security Linux  4.010
License            : Professional Version     
Active IP Count    : 55 protected IPs
-----------------------------------------------------------------------------------------------

we killed process 834 but it was restarted under another pid:

 2324 ?        S      0:00 /usr/sbin/cron
 1742 ?        S      0:00  \_ /USR/SBIN/CRON
 1743 ?        S      0:00      \_ /bin/bash /usr/local/bin/log-rotate.sh
 5979 ?        SN     0:00          \_ /usr/bin/perl -w /usr/local/bin/fwlw.pl /var/log/kernel-20030812.gz
12225 ?        RN    29:52              \_ /usr/local/bin/fwlogwatch -S -d -f /var/log/kernel-20030812.gz -P n -b -m 5 -t -e -n -N -p
12226 ?        SN     0:00              \_ sh -c nice -19  /usr/bin/bzip2 -czq > /var/chroot-report/fwlogwatch/kernel-20030812/Dst_dPort_report.bz2
12227 ?        SN     0:00                  \_ /usr/bin/bzip2 -czq


the problems seems to be the blaster worm. we had a lot of dropped packets with DPT=135 and now our kernel log (kernel-20030812.gz) is uncompressed about 146 mb !!!

an now the logrotate / fwlogwatch process is growing and growing.

what is the best way to fix this  ???

should we delete the kernel-20030812.gz and kill the process again ???

thnx,

gnjb
    


This thread was automatically locked due to age.
  • 0
    gnujuba,

    seems that well configured firewalls are helpful to protect against that bad
    and badly programmed worm - some media said that firewalls won't help [;)]

    If you do not need port 135 from external (most users don't) you could simply
    drop those packest to decrease the amounft of log entries. A packet filter rule  like

    ANY Service_135 external_IP_of_firewall DROP 

    may help.

    I have a dsl line with dynamically assigned IP address and I suffer from lots of
    SYNs to non existing servers on my site mostly P2P traffic so I have created a 
    service group containing all the relevant ports and a rule to just drop them - 
    leads to less hdd traffic and very small logs. This service group list becomes
    longer and longer  

    Greetings 
    cyclops
          
  • 0 in reply to cyclops
    my problem is that the old (12.08.2003) log is to big and so fwlogwatch uses all my memory/cpu when it starts uncompressing and processing (fwlogwatch)  the  kernel-20030812 file.

    todays logfile size is back to normal.

    thanx anywway,

    gnjb    
  • 0 in reply to gnujuba
    kill the processes, no logs will be lost but maybe not displayed
    as nice than parsed - anyway what does WebAdmin if it would
    have to display such large html logs wondering  [:S]

    Greetings
    cyclops   
  • 0 in reply to cyclops
    as said i killed the process and it was restarted.

    we replaced the original big logfile with one with size of zero and then we killed the process again. that helped :-)

    i want to know what would have happend if at 0:00 the next cronjob  starts ???

    greets,

    gnjb