<div>Hi everybody,</div><div><br></div><div>I have experienced "buggies" or some kind of slowlori variation attack with my varnish server two times in 24 hours ago.</div><div>One IP could open and hold thousands of connection in CLOSE_WAIT state to my varnish. And it make thousand of connections to php & mysql being hold too. The result is my system is out of resource, the web browser is barely received information from front-end.</div>
<div><br></div><div>In the first wave, I think it just a bug, and tried to restart varnish, php then everything was fine, system came back to normal state with hundreds MB RAM freed.</div><div><br></div><div>In the second wave, when I notice the front-end could not server client request. I login to SSH, I saw 60 thousands of CLOSE_WAIT connections.</div>
<div>Repeat my previous process, restart varnish, php, there still 20-30k connections hold and more to come. I have to turn varnish off and change the front end to nginx dev version. After that everything is fine.</div><div>
<br></div><div>I also tried to check <a href="http://varnish-cache.org">varnish-cache.org</a> for update infor. & maybe a solution but it seems that <a href="http://varnish-cache.org">varnish-cache.org</a> also has some problem too. I wonder if there are attacks target to varnish with some exploit 0 day bug. It really similar to famous slowloris attack.</div>
<div><br></div><div>Rightnow, my production webserver is fine with nginx and I could keep it running for long. But I hope my information could help if there is a bug or an exploit attack.</div><div><br></div>Best regards,<br clear="all">
Tu Pham Ngoc<br>--------------------------------<br>Skype: phamngoctuuk<br>YM/MSN: <a href="mailto:phamngoctuuk@hotmail.com">phamngoctuuk@hotmail.com</a><br>HP: +84 90 446 1132<br>--------------------------------<br>Anh Ngoc Co., Ltd.<br>
56 Trung Hoa Street, Cau Giay District<br>Hanoi, Vietnam<br><a href="http://www.anhngoc.vn">www.anhngoc.vn</a><br>