Dell Unity: Eicar-malwaretest på Unity NAS får en netværksfejl

Den EICAR Anti-Virus Test File eller EICAR testfil er en computerfil udviklet af Det Europæiske Institut for Computer Anti-Virus Research (EICAR) og Computer Anti-Virus Research Organization (CARO) til at teste reaktionen af computer anti-virus (AV) programmer.

Brugeren er en AV tredjepartsmotor, der er Sophos Central Intercept X.

There is a problem accessing \\172.xx.xx.xx\abc  (NasIP \testfolder ) 
You have received this message because an event that has occurred on your Unity system requires your attention. The alert is:
"The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: OFFLINE, httpStatus: 1006 Connection Disconnected)"
The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: ERROR_AVINTERFACE)"
"No virus checker server is available."

 

Denne fejl er en klar indikation af, at Windows Server, der kører tredjeparts AV-software og Cava Agent, ikke var tilgængelig til at levere tjenester inden for advarselsperioden. Hvis Unity-enheden på anden måde er sund, kan problemet enten være relateret til netværksafbrydelse eller et Windows-Server-problem eller muligvis et AV-tjenesterelateret problem. Brugeren eller en Windows-administrator skal undersøge 'Windows-advarselsloggen' for en klar grundårsag.

Fejlfindingstrin fra Unity:

1. Søg i Unity-logplacering:

EMCSystemBackup.log  - cd /EMC/C4core/log/
grep -i infect EMCSystemBackup.log
grep -i blocked EMCSystemBackup.log

c4_safe_ktrace.log – cd /EMC/C4core/log/
grep -i "virus checker" c4_safe_ktrace.log
zgrep -i "virus checker" /EMC/C4core/log/c4_safe_ktrace.log*

Nas server name/IP : OV-xx-x-xxx-xx-001/ 172.xx.xx.xx
AV server IP address: 172.xx.xx.xx

 

Command Usage: svc_cava
svc_cava { <NAS_Server_Name> | ALL }
 [-h | --help]
 | <no option>
 | -stats
 | [ -set accesstime={ now | none | [[[[yy]mm]dd]hh]mm[.ss] }]
 | [ -fsscan [<fs_mountpath> { -list | -create | -delete } ]
Example : svc_cava -stats
svc_cava nas1 -stats
svc_cava nas1

08:38:39 root@DE4142343780xx spa:/EMC/C4Core/log# svc_cava OV-xxx-x-xxx-xx-001 -stats
OV-xxx-x-xxx-xx-001 : commands processed: 1
command(s) succeeded
output is complete 
1712653384: VC: 5: Total Requests: 0.
1712653384: VC: 5:
1712653384: VC: 5: NO ANSWER from the Virus Checker Servers: 0.
1712653384: VC: 5: ERROR_SETUP: 0.
1712653384: VC: 5: FAIL: 0.
1712653384: VC: 5: TIMEOUT: 0.
1712653384: VC: 5:
1712653384: VC: 5: 0 files in the collector queue.
1712653384: VC: 5: 0 files processed by the AV threads.
Command succeeded

2. Download filen viruschecker.config, og kontroller, om shutdown=no eller shutdown=viruschecking viser:

Åbn Unity UI>Storage > NAS-serveren >Security >Anti-virus >Hent aktuel konfiguration (se filen) 

3. Opdater viruschecker.conf-værdien (Upload ny konfiguration) og anvend ændringerne:

# Example: OV-xxx-x-xxx-xx-001
#
masks=*.EXE:*.COM:*.DOC:*.DOT:*.XL?:*.MD?:*.VXD:*.386:*.SYS:*.BIN:*.ppt:*docx:*.rar:*.zip:*.txt
excl=pagefile.sys:*.tmp
# masks=*.RTF:*.OBD:*.DLL:*.SCR:*.OBT:*.PP?:*.POT:*.OLE:*.SHS:*.MPP
# masks=*.MPT:*.XTP:*.XLB:*.CMD:*.OVL:*.DEV
# masks=*.ZIP:*.TAR:*.ARJ:*.ARC:*.Z
addr=172.xx.xx.xx >> AV Server IP address
shutdown=no (update the value to shutdown=viruschecking and upload the viruschecker.conf file to unity GUI)
# Stops SMB/CIFS if no AV machine available.(No Windows clients can access any Unity share)

 

08:18:51 root@DE414234378xxx spa:/cores/service/user# svc_cava OV-xxx-x-xxx-xx-001
OV-xxx-x-xxx-xx-001: commands processed: 1
command(s) succeeded
output is complete
1712650760: VC: 5: OV-xxx-x-xxx-xx-001: Enabled and Started.
1712650760: VC: 5: 1 Checker IP Address(es):
1712650760: VC: 5: 172.xx.xx.xx                                   ONLINE at Tue Apr  9 08:19:14 2024 (GMT-00:00)
1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )
1712650760: VC: 5:                                                Remediation Window: 30 seconds
1712650760: VC: 5:                                                Server Name: 172.xx.xx.xx
1712650760: VC: 5:                                                Last time signature updated: Tue Apr  9 05:29:36 2024 (GMT-00:00)
1712650760: VC: 5:
1712650760: VC: 5: 15 File Mask(s):
1712650760: VC: 5: *.EXE *.COM *.DOC *.DOT *.XL? *.MD? *.VXD *.386 *.SYS *.BIN *.PPT *DOCX *.RAR
1712650760: VC: 5: *.ZIP *.TXT
1712650760: VC: 5: 2 Excluded File(s):
1712650760: VC: 5: PAGEFILE.SYS *.TMP
1712650760: VC: 5: Share \\ov-yml-p-ser-fs-001.yoma.com.mm\CHECK$.
1712650760: VC: 5: RPC request timeout=25000 milliseconds.
1712650760: VC: 5: RPC retry timeout=5000 milliseconds.
1712650760: VC: 5: High water mark=200.
1712650760: VC: 5: Low water mark=50.
1712650760: VC: 5: Scan all virus checkers every 10 seconds.
1712650760: VC: 5: When all virus checkers are offline:
1712650760: VC: 5: Continue to work with Virus Checking and CIFS.
1712650760: VC: 5: Scan on read disable.
1712650760: VC: 5: MS-RPC User: OV-xxx-x-xxx-xx-001-FS$
1712650760: VC: 5: MS-RPC ClientName: ov-xxx-x-xxx-xx-001.abc
 Command succeeded

Problemet blev løst, og CAVA begyndte at fungere korrekt efter ændring af netværks-IP'en.

Fejlfinding af anbefalinger:

1. Bekræft viruschecker.conf-indstillinger. (nedlukning=viruskontrol)
2. Bekræft, at CAVA-tjenesten kører med AV-brugerkontoen.
3. Bekræft, at den installerede antivirustjeneste (Sophos, TrendMicro, McAfee osv.) kører med den lokale systemkonto.
4. Bekræft, at AV-brugeren er medlem af den lokale admingruppe på hver AV-server.
5. Bekræft, at antivirusprogrammet og CEE er installeret i den rigtige rækkefølge, først CEE og derefter antivirus
6. Genstart CAVA-tjenesterne
7. Genstart AV-serveren én gang
8. Bekræft, at CAVA-serverne kun har én netværksgrænseflade.
9. Bekræft med brugeren, om klientcomputeren er tildelt de samme eller forskellige netværks-IP'er på NAS-servere (anbefales altid, at den er i det samme netværk)

I dette scenarie, den tredjeparts AV-motor er Sophos Central Intercept X, men det afspejler som Microsoft Anti-virus. Dette er grunden til, at Microsoft-leverandøren skal være deaktiveret (trinene og artiklen er nævnt for at deaktivere Microsoft Anti-virus)

1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )

Bedste fremgangsmåde:

1. Opsæt ikke Policy VirusChecking=Nej, da dette kan føre til blokerede tråde og ikke betragtes som bedste praksis.
2. Brug ikke en enkelt AV-server, da dette ikke anbefales.
3. Brug ikke en enkelt AV-server til flere platforme, da dette ikke anbefales og bør betragtes som ikke-understøttet.

Hvis problemet stadig ikke er løst, skal brugeren kontakte tredjepartssupport til antivirusleverandøren for at få yderligere hjælp.

Se nedenstående dokumenter for at få flere oplysninger:

• Deaktiver Defender-antivirusbeskyttelse i Windows Sikkerhed
• Dell CEE bruger Common Event Enabler på Windows-platforme