* MaxThreads reached (server)!

Всем привет!
Последние несколько дней в журнале acWeb.log стали появляться записи
MaxThreads reached (server)!
Много. И замедление работы у пользователей.
Сегодня acWeb уже два раза отвалился с ошибкой

Контейнер ошибки 1806812657084780505, тип 1 Имя события: APPCRASH Отклик: Нет данных Идентификатор CAB: 0 Сигнатура проблемы: P1: acWEB5.exe P2: 5.0.0.0 P3: 311cbdc5 P4: ntdll.dll P5: 10.0.19041.5007 P6: 6ce0f861 P7: c0000005 P8: 00045ed5 P9: P10: Вложенные файлы: \\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER4BBD.tmp.dmp \\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WERBE2F.tmp.WERInternalMetadata.xml \\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WERBE40.tmp.xml \\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WERBE3E.tmp.csv \\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WERBE5E.tmp.txt Эти файлы можно найти здесь: \\?\C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_acWEB5.exe_9afa314ee93aa255bf9da6615a9411a4971ae39b_212dba42_2a607da2-c596-4be7-885b-116daa8bec90 Символ анализа: Повторный поиск решения: 0 Идентификатор отчета: d4194ea3-58a7-418e-bca9-f204b5fac11c Состояние отчета: 268435456 Хэшированный контейнер: 5d0e9b1083f02f1bf9131689e937cfd9 Идентификатор GUID CAB: 0

Имя сбойного приложения: acWEB5.exe, версия: 5.0.0.0, метка времени: 0x311cbdc5 Имя сбойного модуля: ntdll.dll, версия: 10.0.19041.5007, метка времени: 0x6ce0f861 Код исключения: 0xc0000005 Смещение ошибки: 0x00045ed5 Идентификатор сбойного процесса: 0x29c4 Время запуска сбойного приложения: 0x01db2459383c6186 Путь сбойного приложения: D:\E5\acWEB\acWEB5.exe Путь сбойного модуля: C:\WINDOWS\SYSTEM32\ntdll.dll Идентификатор отчета: d4194ea3-58a7-418e-bca9-f204b5fac11c Полное имя сбойного пакета: Код приложения, связанного со сбойным пакетом:

Где копать? Настройки не менялись давно уже.
Спасибо откликнувшимся...

Автор

Дата

Текст

tags

pig

22.10.2024 11:42

Это вы под DOS-атаку попали. Копать надо статистику, смотреть, откуда прёт много-много подключений.

wikipost

matveeva

22.10.2024 11:52

гады...
По eserv ным журналам смотреть? По виндовским? Каким?

wikipost

matveeva

22.10.2024 12:29

pig пишет: Это вы под DOS-атаку попали. Копать надо статистику, смотреть, откуда прёт много-много подключений.

Спасибо за мгновенный ответ.
Связалась с провайдером. У нас стоит от них защита от ддос атак (Билайн, Москва). Завели аварийную заявку.
В журнале безопасности винды есть множество попыток залогиниться с одного ip адреса. Но не прям валом. 1-2 в несколько секунд. Мне казалось, что для "атаки" маловато.
Где в Eserv смотреть — не знаю.

wikipost

pig

22.10.2024 14:39

D:\E5\DATA\log\HTTP — есть такая папка ?

wikipost

matveeva

22.10.2024 14:51
ред: 22.10.2024 14:52

pig пишет: D:\E5\DATA\log\HTTP — есть такая папка ?

Да, конечно. Там минимальное количество записей: три ночных вида:

2024-10-22 04:15:05; 188.246.224.80;96975;0;1;-;401;GET;241;UNAUTHORIZED;ХХХ.ХХХ.ХХХ.ХХХ;/index.e;apps\;application/octet-stream;"Mozilla/5.0 zgrab/0.x";"";;;241;0;0;110;;;0;;; 2024-10-22 04:16:35; 188.246.224.80;96976;0;1;-;401;GET;241;UNAUTHORIZED;ХХХ.ХХХ.ХХХ.ХХХ;/index.e;apps\;application/octet-stream;"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/113.0";"";;;241;0;0;172;;;0;;; 2024-10-22 08:50:39; 35.203.210.189;97139;0;1;-;401;GET;241;UNAUTHORIZED;ХХХ.ХХХ.ХХХ.ХХХ;/index.e;apps\;application/octet-stream;"Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com";"";;;241;0;0;350;;;0;;; [code] Потом мои подключения к вебинтерфейсу и еще четыре "чужих" [code]2024-10-22 14:08:01; 143.42.63.237;7638;0;1;-;403;GET;161;FORBIDDEN;;/;_unknown_root_;text/html;"";"";;;161;0;0;18;;;0;;; 2024-10-22 14:08:01; 143.42.63.237;7639;0;1;-;403;OPTIONS;161;FORBIDDEN;;/;_unknown_root_;text/html;"";"";;;161;0;0;22;;;0;;; 2024-10-22 14:08:01; 143.42.63.237;7640;0;1;-;403;OPTIONS;161;FORBIDDEN;;/;_unknown_root_;text/html;"";"";;;161;0;0;22;;;0;;; 2024-10-22 14:08:45; 143.42.63.237;7713;0;1;-;403;OPTIONS;161;FORBIDDEN;;sip:nm;_unknown_root_;text/html;"";"";;;161;0;0;223;;0;0;;; 2024-10-22 14:08:58; 143.42.63.237;7723;0;1;-;403;GET;164;FORBIDDEN;www;/;_unknown_root_;text/html;"Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36";"";;;71;2281;0;158;;;0;;;

По времени не совпадает с падением acWeb и MaxThreads reached (server)!

wikipost

pig

22.10.2024 16:51

Загадка природы... Сообщение-то как раз о том, что слишком много подключений на слушающий порт. И те, которые смогли установиться, должны в логах хоть как-то засветиться. Впрочем, в таком виде они светятся только по завершении. Но даже если их держать долго, когда-то они должны завершиться. Разве что сервер уронить.

wikipost

matveeva

22.10.2024 19:11
ред: 22.10.2024 19:32

опять служба acWeb упала. В логе acWeb сообщила об ошибке:

Tue, 22 Oct 2024 16:40:04 +0300 Can't create thread. Error:8 Tue, 22 Oct 2024 16:40:34 +0300 Can't create thread. Error:8Scheduler err=6

Забавно, что перед этой ошибкой все культурно. Нет никаких MaxThreads reached (server)!

Билайн сказал, что Ддос атак не зафиксировано. Перебор паролей на прокси-компе не входит в защиту от ддос-атак, это другим сервисом делается.

Не знаю даже, что делать... А чтобы включать блокировку этих переборщиков, надо включать виндовский брандмауэр. А я его выключаю же на прокси...

wikipost

pig

22.10.2024 20:17

Вот это:

Can't create thread. Error:8

означает нехватку системных ресурсов. Конкретно — оперативной памяти. Может, дело не в acWeb? Может, что-то другое ресурсы жрёт?

wikipost

matveeva

22.10.2024 20:31

да не менялось там ничего, вроде... Какое-то обновление могло накатиться...

wikipost

matveeva

22.10.2024 20:32

wikipost

alex1124

24.10.2024 17:51
ред: 24.10.2024 17:53

У меня такая ошибка на Imap сервисе встречается. Лечу перегрузкой. Это, к сожалению, можно вылечить только переходом на x64, но пока сие недоступно.

wikipost

matveeva

24.10.2024 18:27

alex1124 пишет: У меня такая ошибка на Imap сервисе встречается. Лечу перегрузкой.

поставила службе acWeb автоматический перезапуск. Чтобы хотя бы работа не прерывалась.
А не помните, по-моему, была рекомендация, что на машине с ESERVом надо выключать все виндовские брандмауэры. Это так? А то какие-то перцы пароли перебирают, а как их отвадить, не знаю...

wikipost

alex1124

28.10.2024 13:24
ред: 28.10.2024 13:28

У меня виндовский брандмауэр выключен. Есть же встроенные в Есерве. 10 раз и в блок. Если доступ в инет на микроте, можно настроить правила с блокировкой по портам.
Больше всего у меня по SMTP перебирают. Спокойно к этому отношусь.

wikipost

matveeva

28.10.2024 21:53
ред: 28.10.2024 21:55

alex1124 пишет: Есть же встроенные в Есерве. 10 раз и в блок.

Когда долбятся на комп, пытаясь залогиниться в винду, до Есерва дело не доходит ).
А так-то да, в журнале SMTP таких полно. Я их иногда в черный список вношу, когда уж совсем попыток много. Мне кажется, тогда они меньше внимания (процессора/памяти) на себя отнимают )
У нас доступ в интернет на неуправляемом роутере... Надо, кстати, поменять на поумнее что-то. И тогда оттуда закрывать. Точно. Спасибо!

wikipost

alex1124

29.10.2024 08:24

Добрый день

matveeva пишет: пытаясь залогиниться в винду

— разнесите на разные сетевые интерфейсы, а на внешнем оставьте только сервисы Eserv (доступ к сетям Майкрософта отключите). Тогда с внешки будет красиво. Это, правда, требует дополнительных мероприятий (запуск прокси, прокидка портов). Так что, может управляемый роутер и интереснее будет.

wikipost

matveeva

30.10.2024 12:17

Да, что-то самые первые и очевидные решения в голову и не приходят )))
Спасибо! На внешнем интерфейсе сняла галку с "Клиент для сетей Microsoft" и с "Общий доступ к файлам и ...". Как они там остались

Не знаю, забыла про них...
Но все равно ночью какая-то сволочь пыталась подключиться "Администратор"-ом )))

wikipost

Eserv Forum / E5 / Proxy / MaxThreads reached (server)!