Dell Unity: Testowanie złośliwego oprogramowania Eicar na serwerze Unity NAS napotyka błąd sieciowy

EICAR Anti-Virus Test File lub plik testowy EICAR to plik komputerowy opracowany przez Europejski Instytut Badań nad Antywirusami Komputerowymi (EICAR) i Organizację Badań nad Antywirusami Komputerowymi (CARO) w celu przetestowania odpowiedzi programów antywirusowych (AV).

Użytkownikiem jest silnik AV innej firmy, czyli Sophos Central Intercept X.

There is a problem accessing \\172.xx.xx.xx\abc  (NasIP \testfolder ) 
You have received this message because an event that has occurred on your Unity system requires your attention. The alert is:
"The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: OFFLINE, httpStatus: 1006 Connection Disconnected)"
The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: ERROR_AVINTERFACE)"
"No virus checker server is available."

 

Ten błąd jest wyraźną wskazówką, że system Windows Server z uruchomionym oprogramowaniem antywirusowym innej firmy i agentem Cava nie był dostępny do świadczenia usług w okresie obowiązywania alertu. Jeśli urządzenie Unity jest w innym stanie, problem może być związany z awarią sieci, problemem z systemem Windows Server lub prawdopodobnie problemem związanym z usługami AV. Użytkownik lub administrator systemu Windows musi sprawdzić dziennik alertów systemu Windows w celu znalezienia wyraźnej przyczyny głównej.

Kroki rozwiązywania problemów z Unity:

1. Wyszukaj w lokalizacji dziennika aparatu Unity:

EMCSystemBackup.log  - cd /EMC/C4core/log/
grep -i infect EMCSystemBackup.log
grep -i blocked EMCSystemBackup.log

c4_safe_ktrace.log – cd /EMC/C4core/log/
grep -i "virus checker" c4_safe_ktrace.log
zgrep -i "virus checker" /EMC/C4core/log/c4_safe_ktrace.log*

Nas server name/IP : OV-xx-x-xxx-xx-001/ 172.xx.xx.xx
AV server IP address: 172.xx.xx.xx

 

Command Usage: svc_cava
svc_cava { <NAS_Server_Name> | ALL }
 [-h | --help]
 | <no option>
 | -stats
 | [ -set accesstime={ now | none | [[[[yy]mm]dd]hh]mm[.ss] }]
 | [ -fsscan [<fs_mountpath> { -list | -create | -delete } ]
Example : svc_cava -stats
svc_cava nas1 -stats
svc_cava nas1

08:38:39 root@DE4142343780xx spa:/EMC/C4Core/log# svc_cava OV-xxx-x-xxx-xx-001 -stats
OV-xxx-x-xxx-xx-001 : commands processed: 1
command(s) succeeded
output is complete 
1712653384: VC: 5: Total Requests: 0.
1712653384: VC: 5:
1712653384: VC: 5: NO ANSWER from the Virus Checker Servers: 0.
1712653384: VC: 5: ERROR_SETUP: 0.
1712653384: VC: 5: FAIL: 0.
1712653384: VC: 5: TIMEOUT: 0.
1712653384: VC: 5:
1712653384: VC: 5: 0 files in the collector queue.
1712653384: VC: 5: 0 files processed by the AV threads.
Command succeeded

2. Pobierz plik viruschecker.config i sprawdź, czy wyświetla się komunikat shutdown=no lub shutdown=viruschecking:

Otwórz interfejs >użytkownika systemu Unity Serwer pamięci masowej > NAS > Zabezpieczenia >antywirusowe >Pobierz bieżącą konfigurację (wyświetl plik)  

3. Zaktualizuj wartość viruschecker.conf (Prześlij nową konfigurację) i zastosuj zmiany:

# Example: OV-xxx-x-xxx-xx-001
#
masks=*.EXE:*.COM:*.DOC:*.DOT:*.XL?:*.MD?:*.VXD:*.386:*.SYS:*.BIN:*.ppt:*docx:*.rar:*.zip:*.txt
excl=pagefile.sys:*.tmp
# masks=*.RTF:*.OBD:*.DLL:*.SCR:*.OBT:*.PP?:*.POT:*.OLE:*.SHS:*.MPP
# masks=*.MPT:*.XTP:*.XLB:*.CMD:*.OVL:*.DEV
# masks=*.ZIP:*.TAR:*.ARJ:*.ARC:*.Z
addr=172.xx.xx.xx >> AV Server IP address
shutdown=no (update the value to shutdown=viruschecking and upload the viruschecker.conf file to unity GUI)
# Stops SMB/CIFS if no AV machine available.(No Windows clients can access any Unity share)

 

08:18:51 root@DE414234378xxx spa:/cores/service/user# svc_cava OV-xxx-x-xxx-xx-001
OV-xxx-x-xxx-xx-001: commands processed: 1
command(s) succeeded
output is complete
1712650760: VC: 5: OV-xxx-x-xxx-xx-001: Enabled and Started.
1712650760: VC: 5: 1 Checker IP Address(es):
1712650760: VC: 5: 172.xx.xx.xx                                   ONLINE at Tue Apr  9 08:19:14 2024 (GMT-00:00)
1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )
1712650760: VC: 5:                                                Remediation Window: 30 seconds
1712650760: VC: 5:                                                Server Name: 172.xx.xx.xx
1712650760: VC: 5:                                                Last time signature updated: Tue Apr  9 05:29:36 2024 (GMT-00:00)
1712650760: VC: 5:
1712650760: VC: 5: 15 File Mask(s):
1712650760: VC: 5: *.EXE *.COM *.DOC *.DOT *.XL? *.MD? *.VXD *.386 *.SYS *.BIN *.PPT *DOCX *.RAR
1712650760: VC: 5: *.ZIP *.TXT
1712650760: VC: 5: 2 Excluded File(s):
1712650760: VC: 5: PAGEFILE.SYS *.TMP
1712650760: VC: 5: Share \\ov-yml-p-ser-fs-001.yoma.com.mm\CHECK$.
1712650760: VC: 5: RPC request timeout=25000 milliseconds.
1712650760: VC: 5: RPC retry timeout=5000 milliseconds.
1712650760: VC: 5: High water mark=200.
1712650760: VC: 5: Low water mark=50.
1712650760: VC: 5: Scan all virus checkers every 10 seconds.
1712650760: VC: 5: When all virus checkers are offline:
1712650760: VC: 5: Continue to work with Virus Checking and CIFS.
1712650760: VC: 5: Scan on read disable.
1712650760: VC: 5: MS-RPC User: OV-xxx-x-xxx-xx-001-FS$
1712650760: VC: 5: MS-RPC ClientName: ov-xxx-x-xxx-xx-001.abc
 Command succeeded

Problem został rozwiązany, a CAVA zaczęła działać poprawnie po zmianie adresu IP sieci.

Rozwiązywanie problemów z zaleceniami:

1. Potwierdź ustawienia viruschecker.conf. (Shutdown=Viruschecking)
2. Sprawdź, czy usługa CAVA jest uruchomiona na koncie użytkownika AV.
3. Sprawdź, czy zainstalowana usługa antywirusowa (Sophos, TrendMicro, McAfee itd.) jest uruchomiona na lokalnym koncie systemowym.
4. Upewnij się, że użytkownik AV jest członkiem lokalnej grupy administratorów na każdym serwerze AV.
5. Upewnij się, że program antywirusowy i CEE zostały zainstalowane w prawidłowej kolejności — najpierw CEE, a następnie antivirus
6. Uruchom ponownie usługi CAVA
7. Uruchom ponownie serwer AV raz
8. Upewnij się, że serwery CAVA mają tylko jeden interfejs sieciowy.
9. Potwierdź z użytkownikiem, czy komputer kliencki ma przypisane te same lub różne adresy IP sieci serwerów NAS (zawsze zalecane, aby znajdował się w tej samej sieci)

W tym scenariuszu silnik AV innej firmy to Sophos Central Intercept X, jednak jest on odzwierciedlany jako Microsoft Anti-virus. Z tego powodu należy wyłączyć dostawcę firmy Microsoft (wspomniano o krokach i artykule dotyczącym wyłączania programu antywirusowego firmy Microsoft)

1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )

Najlepsze praktyki:

1. Nie należy konfigurować zasad VirusChecking=No, ponieważ może to prowadzić do zablokowania wątków i nie jest uważane za najlepszą praktykę.
2. Nie używaj jednego serwera AV, ponieważ nie jest to zalecane.
3. Nie używaj jednego serwera antywirusowego dla wielu platform, ponieważ nie jest to zalecane i powinno być uważane za nieobsługiwane.

Jeśli problem będzie się powtarzał, użytkownik musi skontaktować się z pomocą techniczną dostawcy oprogramowania antywirusowego innej firmy w celu uzyskania dalszej pomocy.

Więcej informacji można znaleźć w poniższych dokumentach:

• Wyłącz ochronę antywirusową Defender w Zabezpieczeniach Windows
• Dell CEE — korzystanie z programu Common Event Enabler na platformach Windows