16 Nov
2022
16 Nov
'22
4:08 p.m.
Datum a čas: 2022-11-16 16:53 CET
Očekavaná délka: 50 minut
Oznámení se týká serverů: node24.prg
Typ výpadku: vps_reset
Důvod: Kernel lockup
Výpadek řeší: Pavel Šnajdr, Jakub Skokan
pricina zatim neznama
ENGLISH:
Date and time: 2022-11-16 16:53 CET
Expected duration: 50 minutes
Affected systems: node24.prg
Outage type: vps_reset
Reason: Kernel lockup
Handled by: Pavel Šnajdr, Jakub Skokan
cause unknown as of yet
-----BEGIN BASE64 ENCODED PARSEABLE JSON-----
eyJpZCI6OTgwLCJwbGFubmVkIjpmYWxzZSwiYmVnaW5zX2F0IjoiMjAyMi0x
MS0xNlQxNjo1MzowMCswMTowMCIsImR1cmF0aW9uIjo1MCwidHlwZSI6InZw
c19yZXNldCIsImVudGl0aWVzIjpbeyJuYW1lIjoiTm9kZSIsImlkIjoxMjUs
ImxhYmVsIjoibm9kZTI0LnByZyJ9XSwiaGFuZGxlcnMiOlsiUGF2ZWwgxaBu
YWpkciIsIkpha3ViIFNrb2thbiJdLCJ0cmFuc2xhdGlvbnMiOnsiZW4iOnsi
c3VtbWFyeSI6Iktlcm5lbCBsb2NrdXAiLCJkZXNjcmlwdGlvbiI6ImNhdXNl
IHVua25vd24gYXMgb2YgeWV0In0sImNzIjp7InN1bW1hcnkiOiJLZXJuZWwg
bG9ja3VwIiwiZGVzY3JpcHRpb24iOiJwcmljaW5hIHphdGltIG5lem5hbWEi
fX19
-----END BASE64 ENCODED PARSEABLE JSON-----
16 Nov
16 Nov
7:07 p.m.
Očekávaná délka: 50 -> 100 minut
Popis: DoS s vsftpd
Dnešní požíže byly nejspíše způsobeny FTP servery vsftpd. vsftpd pro každé spojení vytváří
nový network namespace a kernel nestíhal vytvářet a mazat tolik network namespaces, až se
úplně zaseknul. V 18:40 byl druhý reset nodu. Dočasně jsme zablokovali TCP port 21, FTP na
node24.prg tedy aktuálně nefunguje. Při hledání problému jsme také odebrali moduly pro
ipip a GRE tunely.
Nahlásil: Jakub Skokan
ENGLISH:
Duration: 50 -> 100 minutes
Summary: DoS by vsftpd
Today's troubles have been most likely caused by vsftpd abusing network namespaces. A
new network namespace is created for each connection. Creating and destroying so many
network namespaces caused the kernel to lock up. There has been a second reset at 18:40.
To alleviate the issue, we have temporarily blocked TCP port 21, so FTP on node24.prg is
not working. We have also disabled ipip and GRE tunnels to lighten the load.
Reported by: Jakub Skokan
-----BEGIN BASE64 ENCODED PARSEABLE JSON-----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-----END BASE64 ENCODED PARSEABLE JSON-----
9:53 p.m.
Popis: Potvrzení DoS přes vsftpd
Na node24.prg běží cca 43 vsftpd serverů, podle logu se v dobu výpadku na mnohé z nich
pokoušela připojit jedna IP adresa (viz IRC), což pak vedlo k tomu problému s network
namespaces a přetížení systému. Zkoumáme možnosti, jak v takových případech omezit
vytváření/mázání tolika network namespaces, abychom to příště ustáli.
Kdo používáte vsftpd, nastavení isolate_network=NO vypne tuto nešťastnou vlastnost
vytváření network namespace pro každého klienta.
Nahlásil: Jakub Skokan
ENGLISH:
Summary: Confirmed DoS by vsftpd
There's about 43 vsftpd servers on node24.prg and we've identified one IP address
(see our IRC), which has been making many authentication attempts at the time, leading to
the abuse of network namespaces. We're investigating ways to rate-limit network
namespace creation/destruction to avoid the issue in the future.
For users of vsftpd, setting isolate_network=NO will remove the problem with network
namespaces as well.
Reported by: Jakub Skokan
-----BEGIN BASE64 ENCODED PARSEABLE JSON-----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-----END BASE64 ENCODED PARSEABLE JSON-----
766
days inactive
766
days old
2 comments
1 participants
participants (1)
-
podpora@vpsfree.cz