Dell Unity: Las pruebas de malware de Eicar en el NAS de Unity reciben un error de red

El archivo de prueba antivirus EICAR o archivo de prueba EICAR es un archivo informático desarrollado por el Instituto Europeo de Investigación de Antivirus Informáticos (EICAR) y la Organización de Investigación de Antivirus Informáticos (CARO) para probar la respuesta de los programas antivirus informáticos (AV).

El usuario es un motor AV de otros fabricantes, es decir, Sophos Central Intercept X.

There is a problem accessing \\172.xx.xx.xx\abc  (NasIP \testfolder ) 
You have received this message because an event that has occurred on your Unity system requires your attention. The alert is:
"The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: OFFLINE, httpStatus: 1006 Connection Disconnected)"
The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: ERROR_AVINTERFACE)"
"No virus checker server is available."

 

Este error es una indicación clara de que Windows Server que ejecuta el software antivirus de otros fabricantes y el agente Cava no estaban disponibles para prestar servicios durante el período de tiempo de la alerta. Si el dispositivo Unity está en buen estado, el problema puede estar relacionado con una interrupción de la red, un problema de Windows Server o, posiblemente, un problema relacionado con los servicios AV. El usuario o un administrador de Windows debe examinar el "Registro de alertas de Windows" para encontrar una causa raíz clara.

Pasos para la solución de problemas desde Unity:

1. Busque en la ubicación del registro de Unity:

EMCSystemBackup.log  - cd /EMC/C4core/log/
grep -i infect EMCSystemBackup.log
grep -i blocked EMCSystemBackup.log

c4_safe_ktrace.log – cd /EMC/C4core/log/
grep -i "virus checker" c4_safe_ktrace.log
zgrep -i "virus checker" /EMC/C4core/log/c4_safe_ktrace.log*

Nas server name/IP : OV-xx-x-xxx-xx-001/ 172.xx.xx.xx
AV server IP address: 172.xx.xx.xx

 

Command Usage: svc_cava
svc_cava { <NAS_Server_Name> | ALL }
 [-h | --help]
 | <no option>
 | -stats
 | [ -set accesstime={ now | none | [[[[yy]mm]dd]hh]mm[.ss] }]
 | [ -fsscan [<fs_mountpath> { -list | -create | -delete } ]
Example : svc_cava -stats
svc_cava nas1 -stats
svc_cava nas1

08:38:39 root@DE4142343780xx spa:/EMC/C4Core/log# svc_cava OV-xxx-x-xxx-xx-001 -stats
OV-xxx-x-xxx-xx-001 : commands processed: 1
command(s) succeeded
output is complete 
1712653384: VC: 5: Total Requests: 0.
1712653384: VC: 5:
1712653384: VC: 5: NO ANSWER from the Virus Checker Servers: 0.
1712653384: VC: 5: ERROR_SETUP: 0.
1712653384: VC: 5: FAIL: 0.
1712653384: VC: 5: TIMEOUT: 0.
1712653384: VC: 5:
1712653384: VC: 5: 0 files in the collector queue.
1712653384: VC: 5: 0 files processed by the AV threads.
Command succeeded

2. Descargue el archivo viruschecker.config y verifique si shutdown=no o shutdown=viruschecking muestra:

Abra la UI> de Unity Almacenamiento > Servidor > NAS Seguridad >Antivirus >Recuperar la configuración actual (ver el archivo) 

3. Actualice el valor viruschecker.conf (Upload New Configuration) y aplique los cambios:

# Example: OV-xxx-x-xxx-xx-001
#
masks=*.EXE:*.COM:*.DOC:*.DOT:*.XL?:*.MD?:*.VXD:*.386:*.SYS:*.BIN:*.ppt:*docx:*.rar:*.zip:*.txt
excl=pagefile.sys:*.tmp
# masks=*.RTF:*.OBD:*.DLL:*.SCR:*.OBT:*.PP?:*.POT:*.OLE:*.SHS:*.MPP
# masks=*.MPT:*.XTP:*.XLB:*.CMD:*.OVL:*.DEV
# masks=*.ZIP:*.TAR:*.ARJ:*.ARC:*.Z
addr=172.xx.xx.xx >> AV Server IP address
shutdown=no (update the value to shutdown=viruschecking and upload the viruschecker.conf file to unity GUI)
# Stops SMB/CIFS if no AV machine available.(No Windows clients can access any Unity share)

 

08:18:51 root@DE414234378xxx spa:/cores/service/user# svc_cava OV-xxx-x-xxx-xx-001
OV-xxx-x-xxx-xx-001: commands processed: 1
command(s) succeeded
output is complete
1712650760: VC: 5: OV-xxx-x-xxx-xx-001: Enabled and Started.
1712650760: VC: 5: 1 Checker IP Address(es):
1712650760: VC: 5: 172.xx.xx.xx                                   ONLINE at Tue Apr  9 08:19:14 2024 (GMT-00:00)
1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )
1712650760: VC: 5:                                                Remediation Window: 30 seconds
1712650760: VC: 5:                                                Server Name: 172.xx.xx.xx
1712650760: VC: 5:                                                Last time signature updated: Tue Apr  9 05:29:36 2024 (GMT-00:00)
1712650760: VC: 5:
1712650760: VC: 5: 15 File Mask(s):
1712650760: VC: 5: *.EXE *.COM *.DOC *.DOT *.XL? *.MD? *.VXD *.386 *.SYS *.BIN *.PPT *DOCX *.RAR
1712650760: VC: 5: *.ZIP *.TXT
1712650760: VC: 5: 2 Excluded File(s):
1712650760: VC: 5: PAGEFILE.SYS *.TMP
1712650760: VC: 5: Share \\ov-yml-p-ser-fs-001.yoma.com.mm\CHECK$.
1712650760: VC: 5: RPC request timeout=25000 milliseconds.
1712650760: VC: 5: RPC retry timeout=5000 milliseconds.
1712650760: VC: 5: High water mark=200.
1712650760: VC: 5: Low water mark=50.
1712650760: VC: 5: Scan all virus checkers every 10 seconds.
1712650760: VC: 5: When all virus checkers are offline:
1712650760: VC: 5: Continue to work with Virus Checking and CIFS.
1712650760: VC: 5: Scan on read disable.
1712650760: VC: 5: MS-RPC User: OV-xxx-x-xxx-xx-001-FS$
1712650760: VC: 5: MS-RPC ClientName: ov-xxx-x-xxx-xx-001.abc
 Command succeeded

El problema se resolvió y CAVA comenzó a funcionar correctamente después de cambiar la IP de la red.

Recomendación para la solución de problemas:

1. Confirme los ajustes de viruschecker.conf. (shutdown=viruschecking)
2. Confirme que el servicio CAVA esté en ejecución con la cuenta de usuario de AV.
3. Confirme que el servicio de antivirus (Sophos, TrendMicro, McAfee, etc.) instalado se esté ejecutando con la cuenta del sistema local.
4. Confirme que el usuario de AV sea miembro del grupo de administradores locales en cada servidor AV.
5. Confirme que el antivirus y CEE se instalaron en el orden correcto, CEE primero y, a continuación, el antivirus
6. Reinicie los servicios de CAVA
7. Reinicie el servidor de antivirus una vez
8. Confirme que los servidores CAVA tengan una sola interfaz de red.
9. Confirme con el usuario si la computadora cliente tiene asignadas las mismas o diferentes direcciones IP de red de servidores NAS (siempre se recomienda que esté en la misma red)

En este escenario, el motor antivirus de terceros es Sophos Central Intercept X, pero se refleja como Microsoft Anti-virus. Esta es la razón por la que se debe deshabilitar el proveedor de Microsoft (se mencionan los pasos y el artículo para deshabilitar el antivirus de Microsoft)

1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )

Prácticas recomendadas:

1. No configure la política VirusChecking=No, ya que esto puede provocar el bloqueo de subprocesos y no se considera una práctica recomendada.
2. No utilice un único servidor AV, ya que esto no se recomienda.
3. No utilice un único servidor de antivirus para varias plataformas, ya que esto no se recomienda y se debe considerar no compatible.

Si el problema persiste, el usuario debe comunicarse con el soporte del proveedor de antivirus de otros fabricantes para obtener más ayuda.

Consulte los siguientes documentos para obtener más información:

• Desactivar la protección antivirus de Defender en Seguridad de Windows
• Dell CEE Uso de Common Event Enabler en plataformas Windows