Re: [FUG-BR] Comportamento estranho FreeBSD 8.2-STABLE
Em 02/03/2012 09:07, Antonio Modesto escreveu: Bom dia, Ontem à noite tivemos um problema no nosso servidor proxy/roteador, ele simplesmente parou de responder aos pings e o Nagios me enviou uma notificação. O problema é que não foi possível verificar no monitor o que realmente tinha acontecido, tudo que tenho são essas entradas no console.log: Mar 1 19:02:01 may kernel: Approaching the limit on PV entries, consider increasing either the vm.pmap.shpgperproc or the vm.pmap.pv_entry_max sysctl. Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready yet) Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err 6) E essas no messages.log: Mar 1 19:02:02 may kernel: Limiting closed port RST response from 222 to 200 packets/sec Mar 1 19:02:04 may kernel: Limiting closed port RST response from 249 to 200 packets/sec Mar 1 19:02:05 may kernel: Limiting closed port RST response from 219 to 200 packets/sec Mar 1 19:02:06 may kernel: Limiting closed port RST response from 236 to 200 packets/sec Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready yet) Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err 6) Mar 1 19:02:07 may kernel: Limiting closed port RST response from 208 to 200 packets/sec Mar 1 19:02:08 may kernel: Limiting closed port RST response from 227 to 200 packets/sec Mar 1 19:02:09 may kernel: Limiting closed port RST response from 258 to 200 packets/sec Mar 1 19:02:10 may kernel: Limiting closed port RST response from 225 to 200 packets/sec Mar 1 19:02:11 may kernel: Limiting closed port RST response from 227 to 200 packets/sec Tudo indica que você está sendo atacado, um DoS da vida. Você tem algum Firewall nesse equipamento? Sábado 25/02 esse mesmo problema havia acontecido, eu incrementei o valor de vm.pmap.shpgperproc para 500 mas pelo jeito não adiantou. Não sei realmente se é esse primeiro erro que está ocasionando essas tentativas de suspender o sistema. Alguma sugestão? # uname -a FreeBSD 8.2-STABLE FreeBSD 8.2-STABLE #1: Wed Dec 28 10:10:26 BRST 2011 root@xx:/usr/obj/usr/src/sys/PROXY amd64 Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Comportamento estranho FreeBSD 8.2-STABLE
On Fri, 2012-03-02 at 09:17 -0300, Marcelo Gondim wrote: Em 02/03/2012 09:07, Antonio Modesto escreveu: Bom dia, Ontem à noite tivemos um problema no nosso servidor proxy/roteador, ele simplesmente parou de responder aos pings e o Nagios me enviou uma notificação. O problema é que não foi possível verificar no monitor o que realmente tinha acontecido, tudo que tenho são essas entradas no console.log: Mar 1 19:02:01 may kernel: Approaching the limit on PV entries, consider increasing either the or the vm.pmap.pv_entry_max sysctl. Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready yet) Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err 6) E essas no messages.log: Mar 1 19:02:02 may kernel: Limiting closed port RST response from 222 to 200 packets/sec Mar 1 19:02:04 may kernel: Limiting closed port RST response from 249 to 200 packets/sec Mar 1 19:02:05 may kernel: Limiting closed port RST response from 219 to 200 packets/sec Mar 1 19:02:06 may kernel: Limiting closed port RST response from 236 to 200 packets/sec Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready yet) Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err 6) Mar 1 19:02:07 may kernel: Limiting closed port RST response from 208 to 200 packets/sec Mar 1 19:02:08 may kernel: Limiting closed port RST response from 227 to 200 packets/sec Mar 1 19:02:09 may kernel: Limiting closed port RST response from 258 to 200 packets/sec Mar 1 19:02:10 may kernel: Limiting closed port RST response from 225 to 200 packets/sec Mar 1 19:02:11 may kernel: Limiting closed port RST response from 227 to 200 packets/sec Tudo indica que você está sendo atacado, um DoS da vida. Você tem algum Firewall nesse equipamento? Nesse servidor tenho 5 serviços de rede (squid, named, ntp, snmp, ssh). O squid só ouve no IP de loopback, pois o proxy é transparente, agora o named, ntp e snmp estão desprotegidos. Agora o que acho estranho é essa tentativa de suspender o sistema, eu desabilitei o power button na acpi por precaução, e aumentei o valor de vm.pmap.shpgperproc. Estou desconfiando que estas mensagens de RST acontecem pois o sistema está sendo desligado, talvez esteja chegando requisições HTTP ou queries DNS e as portas já foram fechadas por causa do suspend. Sábado 25/02 esse mesmo problema havia acontecido, eu incrementei o valor de vm.pmap.shpgperproc para 500 mas pelo jeito não adiantou. Não sei realmente se é esse primeiro erro que está ocasionando essas tentativas de suspender o sistema. Alguma sugestão? # uname -a FreeBSD 8.2-STABLE FreeBSD 8.2-STABLE #1: Wed Dec 28 10:10:26 BRST 2011 root@xx:/usr/obj/usr/src/sys/PROXY amd64 Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Comportamento estranho FreeBSD 8.2-STABLE
Em Fri, 02 Mar 2012 09:43:29 -0300, Antonio Modesto escreveu On Fri, 2012-03-02 at 09:17 -0300, Marcelo Gondim wrote: Em 02/03/2012 09:07, Antonio Modesto escreveu: Bom dia, Ontem à noite tivemos um problema no nosso servidor proxy/roteador, ele simplesmente parou de responder aos pings e o Nagios me enviou uma notificação. O problema é que não foi possível verificar no monitor o que realmente tinha acontecido, tudo que tenho são essas entradas no console.log: Mar 1 19:02:01 may kernel: Approaching the limit on PV entries, consider increasing either the or the vm.pmap.pv_entry_max sysctl. Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready yet) Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err 6) E essas no messages.log: Mar 1 19:02:02 may kernel: Limiting closed port RST response from 222 to 200 packets/sec Mar 1 19:02:04 may kernel: Limiting closed port RST response from 249 to 200 packets/sec Mar 1 19:02:05 may kernel: Limiting closed port RST response from 219 to 200 packets/sec Mar 1 19:02:06 may kernel: Limiting closed port RST response from 236 to 200 packets/sec Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready yet) Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err 6) Mar 1 19:02:07 may kernel: Limiting closed port RST response from 208 to 200 packets/sec Mar 1 19:02:08 may kernel: Limiting closed port RST response from 227 to 200 packets/sec Mar 1 19:02:09 may kernel: Limiting closed port RST response from 258 to 200 packets/sec Mar 1 19:02:10 may kernel: Limiting closed port RST response from 225 to 200 packets/sec Mar 1 19:02:11 may kernel: Limiting closed port RST response from 227 to 200 packets/sec Tudo indica que você está sendo atacado, um DoS da vida. Você tem algum Firewall nesse equipamento? Nesse servidor tenho 5 serviços de rede (squid, named, ntp, snmp, ssh). O squid só ouve no IP de loopback, pois o proxy é transparente, agora o named, ntp e snmp estão desprotegidos. Agora o que acho estranho é essa tentativa de suspender o sistema, eu desabilitei o power button na acpi por precaução, e aumentei o valor de vm.pmap.shpgperproc. Estou desconfiando que estas mensagens de RST acontecem pois o sistema está sendo desligado, talvez esteja chegando requisições HTTP ou queries DNS e as portas já foram fechadas por causa do suspend. Sábado 25/02 esse mesmo problema havia acontecido, eu incrementei o valor de vm.pmap.shpgperproc para 500 mas pelo jeito não adiantou. Não sei realmente se é esse primeiro erro que está ocasionando essas tentativas de suspender o sistema. Alguma sugestão? # uname -a FreeBSD 8.2-STABLE FreeBSD 8.2-STABLE #1: Wed Dec 28 10:10:26 BRST 2011 root@xx:/usr/obj/usr/src/sys/PROXY amd64 Obrigado. Não entendi sua dúvida se é o ataque de DoS (flood de icmp) ou é o computador tentando entrar em modo S5 via acpi -- Nilton José Rizzo 805 Informatica Disseminando tecnologias 021 2413 9786 --- A: Because it messes up the order in which people normally read text. Q: Why is top-posting such a bad thing? http://en.wikipedia.org/wiki/Posting_style - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Comportamento estranho FreeBSD 8.2-STABLE
On Fri, 2012-03-02 at 10:57 -0300, Nilton Jose Rizzo wrote: Em Fri, 02 Mar 2012 09:43:29 -0300, Antonio Modesto escreveu On Fri, 2012-03-02 at 09:17 -0300, Marcelo Gondim wrote: Em 02/03/2012 09:07, Antonio Modesto escreveu: Bom dia, Ontem à noite tivemos um problema no nosso servidor proxy/roteador, ele simplesmente parou de responder aos pings e o Nagios me enviou uma notificação. O problema é que não foi possível verificar no monitor o que realmente tinha acontecido, tudo que tenho são essas entradas no console.log: Mar 1 19:02:01 may kernel: Approaching the limit on PV entries, consider increasing either the or the vm.pmap.pv_entry_max sysctl. Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready yet) Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err 6) E essas no messages.log: Mar 1 19:02:02 may kernel: Limiting closed port RST response from 222 to 200 packets/sec Mar 1 19:02:04 may kernel: Limiting closed port RST response from 249 to 200 packets/sec Mar 1 19:02:05 may kernel: Limiting closed port RST response from 219 to 200 packets/sec Mar 1 19:02:06 may kernel: Limiting closed port RST response from 236 to 200 packets/sec Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready yet) Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err 6) Mar 1 19:02:07 may kernel: Limiting closed port RST response from 208 to 200 packets/sec Mar 1 19:02:08 may kernel: Limiting closed port RST response from 227 to 200 packets/sec Mar 1 19:02:09 may kernel: Limiting closed port RST response from 258 to 200 packets/sec Mar 1 19:02:10 may kernel: Limiting closed port RST response from 225 to 200 packets/sec Mar 1 19:02:11 may kernel: Limiting closed port RST response from 227 to 200 packets/sec Tudo indica que você está sendo atacado, um DoS da vida. Você tem algum Firewall nesse equipamento? Nesse servidor tenho 5 serviços de rede (squid, named, ntp, snmp, ssh). O squid só ouve no IP de loopback, pois o proxy é transparente, agora o named, ntp e snmp estão desprotegidos. Agora o que acho estranho é essa tentativa de suspender o sistema, eu desabilitei o power button na acpi por precaução, e aumentei o valor de vm.pmap.shpgperproc. Estou desconfiando que estas mensagens de RST acontecem pois o sistema está sendo desligado, talvez esteja chegando requisições HTTP ou queries DNS e as portas já foram fechadas por causa do suspend. Sábado 25/02 esse mesmo problema havia acontecido, eu incrementei o valor de vm.pmap.shpgperproc para 500 mas pelo jeito não adiantou. Não sei realmente se é esse primeiro erro que está ocasionando essas tentativas de suspender o sistema. Alguma sugestão? # uname -a FreeBSD 8.2-STABLE FreeBSD 8.2-STABLE #1: Wed Dec 28 10:10:26 BRST 2011 root@xx:/usr/obj/usr/src/sys/PROXY amd64 Obrigado. Não entendi sua dúvida se é o ataque de DoS (flood de icmp) ou é o computador tentando entrar em modo S5 via acpi Vou ser mais claro hehe, se esse limite de entradas PV for atingido, o que acontece? o sistema operacional dá um kernel panic e desliga? Ou o fato do servidor ter desligado não tem nada a ver com esses logs? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
