Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4957 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9, WAF module and file handle exhaustion

sadsouza1
We have a Sophos 220 Firewall with firmware 9.307-6. We have two virtual sites configured within the Webserver Protection (WAF) module. Sporadically we seem to be seeing these errors which relate to file handle exhaustion. 


There seems to be similar issues within your kb, which address the issues below.

UTM Up2Date 9.204 Released | Sophos Blog

Any idea what might be happening and if it might be addressed and fixed? We have made contact with your technical support but haven't gotten very far.


2015:02:17-12:21:47 lagw01x-1 reverseproxy: [Tue Feb 17 12:21:47.162130 2015] [avscan:error] [pid 1444:tid 3854281584] [client 191.121.12.12:50000] [1444] cannot create socket: Too many open files (24)
2015:02:17-12:21:47 lagw01x-1 reverseproxy: [Tue Feb 17 12:21:47.162163 2015] [avscan:error] [pid 1444:tid 3854281584] [client 191.121.12.12:50000] [1444] virus daemon connection problem found in request /favicon.ico
2015:02:17-12:21:47 lagw01x-1 reverseproxy: [Tue Feb 17 12:21:47.194233 2015] [avscan:error] [pid 1444:tid 3854281584] [client 191.121.12.12:50000] [1444] cannot create socket: Too many open files (24)
2015:02:17-12:21:47 lagw01x-1 reverseproxy: [Tue Feb 17 12:21:47.215960 2015] [avscan:error] [pid 1444:tid 3854281584] [client 191.121.12.12:50000] [1444] virus daemon connection problem found in request /favicon.ico
2015:02:17-12:21:47 lagw01x-1 reverseproxy: id="0299" srcip="191.121.12.12" localip="12.1.122.34" size="209" user="-" host="191.121.12.12" method="GET" statuscode="404" reason="-" extra="-" exceptions="-" time="57526" url="/favicon.ico" server="REF_RevFroTestasccon" referer="-" cookie="-" set-cookie="-"
2015:02:17-12:22:12 lagw01x-1 reverseproxy: [Tue Feb 17 12:22:12.599549 2015] [avscan:error] [pid 1444:tid 3938208624] [client 198.12.110.121:1242] [1444] cannot create socket: Too many open files (24)
2015:02:17-12:22:12 lagw01x-1 reverseproxy: [Tue Feb 17 12:22:12.642320 2015] [avscan:error] [pid 1444:tid 3938208624] [client 198.12.110.121:1242] [1444] virus daemon connection problem found in request /appmain/do/app.do.Login
2015:02:17-12:22:12 lagw01x-1 reverseproxy: [Tue Feb 17 12:22:12.694155 2015] [avscan:error] [pid 1444:tid 3938208624] [client 198.12.110.121:1242] [1444] cannot open temporary file: Too many open files
2015:02:17-12:22:12 lagw01x-1 reverseproxy: [Tue Feb 17 12:22:12.694184 2015] [avscan:error] [pid 1444:tid 3938208624] [client 198.12.110.121:1242] avscan initialization failed
2015:02:17-12:22:12 lagw01x-1 reverseproxy: id="0299" srcip="198.12.110.121" localip="12.1.122.34" size="532" user="-" host="198.12.110.121" method="GET" statuscode="500" reason="av" extra="avscan initialization failed" exceptions="-" time="99964" url="/appmain/do/app.do.Login" server="REF_RevFroTestasccon" referer="-" cookie="JSESSIONID=2199F7C5B261BCD022A48D60AFE239EC" set-cookie="-"
2015:02:17-12:22:53 lagw01x-1 reverseproxy: [Tue Feb 17 12:22:53.465023 2015] [avscan:error] [pid 1444:tid 3980172144] [client 191.121.12.12:50001] [1444] cannot open temporary file: Too many open files
2015:02:17-12:22:53 lagw01x-1 reverseproxy: [Tue Feb 17 12:22:53.465053 2015] [avscan:error] [pid 1444:tid 3980172144] [client 191.121.12.12:50001] avscan initialization failed
2015:02:17-12:22:53 lagw01x-1 reverseproxy: [Tue Feb 17 12:22:53.465058 2015] [proxy_http:error] [pid 1444:tid 3980172144] (20014)Internal error: [client 191.121.12.12:50001] AH01095: prefetch request body failed to 201.113.61.43:443 (201.113.61.43) from 191.121.12.12 ()
2015:02:17-12:22:53 lagw01x-1 reverseproxy: id="0299" srcip="191.121.12.12" localip="12.1.122.34" size="226" user="-" host="191.121.12.12" method="GET" statuscode="400" reason="-" extra="-" exceptions="-" time="4121" url="/" server="REF_RevFroTestasccon" referer="-" cookie="-" set-cookie="-"
2015:02:17-12:23:36 lagw01x-1 reverseproxy: [Tue Feb 17 12:23:36.185428 2015] [avscan:error] [pid 1444:tid 3820710768] [client 191.121.12.12:50003] [1444] cannot open temporary file: Too many open files
2015:02:17-12:23:36 lagw01x-1 reverseproxy: [Tue Feb 17 12:23:36.185607 2015] [avscan:error] [pid 1444:tid 3820710768] [client 191.121.12.12:50003] avscan initialization failed
2015:02:17-12:23:36 lagw01x-1 reverseproxy: [Tue Feb 17 12:23:36.185669 2015] [proxy_http:error] [pid 1444:tid 3820710768] (20014)Internal error: [client 191.121.12.12:50003] AH01095: prefetch request body failed to 201.113.61.43:443 (201.113.61.43) from 191.121.12.12 ()
2015:02:17-12:23:36 lagw01x-1 reverseproxy: id="0299" srcip="191.121.12.12" localip="12.1.122.34" size="226" user="-" host="191.121.12.12" method="GET" statuscode="400" reason="-" extra="-" exceptions="-" time="3526" url="/" server="REF_RevFroTestasccon" referer="-" cookie="-" set-cookie="-"
2015:02:17-12:23:42 lagw01x-1 reverseproxy: [Tue Feb 17 12:23:42.688200 2015] [avscan:error] [pid 1444:tid 3871066992] [client 191.121.12.12:50004] [1444] cannot create socket: Too many open files (24)
2015:02:17-12:23:42 lagw01x-1 reverseproxy: [Tue Feb 17 12:23:42.694464 2015] [avscan:error] [pid 1444:tid 3871066992] [client 191.121.12.12:50004] [1444] virus daemon connection problem found in request /


This thread was automatically locked due to age.
  • 0
    Could be a system load issue.  My first thought is what settings do you have for AV in your WAF firewall profile?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Could be a system load issue.  My first thought is what settings do you have for AV in your WAF firewall profile?



    The profile we are using has the following settings enabled -

    * Monitor only mode is on
    * Common Threats Filter on
    * Rigid filtering on
    * Antivirus - mode - Single Scan; Direction - Uploads and Downloads
    * Block unscannable content on
    * Skip Remote lookups for clients with bad reputation on
    * All Threat filter categories are turned on
  • 0
    Antivirus - mode - Single Scan
    I was going to suggest this, but you're already there.

    Do your sites experience a large number of uploads/downloads?

    UTM WAF, on the backside, is ModSecurity and Apache.  These have some default limitations, such as number of concurrent connections, file size limits, etc.  Googling around I see some references to the same error with some suggested config file changes to fix it.  Do not make these changes yourself.  Do some research and let support know if you find anything relevant.  Although support really won't know what your sending them, they can pass it onto dev, who will understand and can vet making changes.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Do you know how to log into your UTM via command line and become root? Then you could issue

    lsof -p 

    on the failing process ID to find out what's using up all those file handles.
  • 0
    Hi, sadsouza1, and welcome to the User BB!

    There seems to be similar issues within your kb

    This is a user-to-user venue, and not a place for any communication with Sophos.  The only Sophos employees paid to participate here are the developers that ask questions in the beta forums.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML