Dell Unity: Eicar Malware-Test auf Unity NAS erhält einen Netzwerkfehler

Die EICAR-Antivirus-Testdatei oder EICAR-Testdatei ist eine Computerdatei, die vom Europäischen Institut für Computer-Antivirenforschung (EICAR) und der Computer Anti-Virus Research Organization (CARO) entwickelt wurde, um die Reaktion von Computer-Antivirenprogrammen (AV) zu testen.

Der Benutzer ist eine AV-Engine eines Drittanbieters, bei der es sich um Sophos Central Intercept X handelt.

There is a problem accessing \\172.xx.xx.xx\abc  (NasIP \testfolder ) 
You have received this message because an event that has occurred on your Unity system requires your attention. The alert is:
"The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: OFFLINE, httpStatus: 1006 Connection Disconnected)"
The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: ERROR_AVINTERFACE)"
"No virus checker server is available."

 

Dieser Fehler ist ein klarer Hinweis darauf, dass der Windows Server, auf dem die Virenschutzsoftware von Drittanbietern und Cava Agent ausgeführt wurden, während des Zeitraums der Warnung keine Dienste bereitstellen konnte. Wenn die Unity-Appliance ansonsten fehlerfrei funktioniert, kann es sich entweder um einen Netzwerkausfall, ein Windows-Server-Problem oder möglicherweise um ein Problem im Zusammenhang mit AV-Services handeln. Der Nutzer oder ein Windows-Administrator muss das "Windows-Warnungsprotokoll" auf eine eindeutige Ursache untersuchen.

Schritte zum Troubleshooting in Unity:

1. Suche am Unity-Protokollspeicherort:

EMCSystemBackup.log  - cd /EMC/C4core/log/
grep -i infect EMCSystemBackup.log
grep -i blocked EMCSystemBackup.log

c4_safe_ktrace.log – cd /EMC/C4core/log/
grep -i "virus checker" c4_safe_ktrace.log
zgrep -i "virus checker" /EMC/C4core/log/c4_safe_ktrace.log*

Nas server name/IP : OV-xx-x-xxx-xx-001/ 172.xx.xx.xx
AV server IP address: 172.xx.xx.xx

 

Command Usage: svc_cava
svc_cava { <NAS_Server_Name> | ALL }
 [-h | --help]
 | <no option>
 | -stats
 | [ -set accesstime={ now | none | [[[[yy]mm]dd]hh]mm[.ss] }]
 | [ -fsscan [<fs_mountpath> { -list | -create | -delete } ]
Example : svc_cava -stats
svc_cava nas1 -stats
svc_cava nas1

08:38:39 root@DE4142343780xx spa:/EMC/C4Core/log# svc_cava OV-xxx-x-xxx-xx-001 -stats
OV-xxx-x-xxx-xx-001 : commands processed: 1
command(s) succeeded
output is complete 
1712653384: VC: 5: Total Requests: 0.
1712653384: VC: 5:
1712653384: VC: 5: NO ANSWER from the Virus Checker Servers: 0.
1712653384: VC: 5: ERROR_SETUP: 0.
1712653384: VC: 5: FAIL: 0.
1712653384: VC: 5: TIMEOUT: 0.
1712653384: VC: 5:
1712653384: VC: 5: 0 files in the collector queue.
1712653384: VC: 5: 0 files processed by the AV threads.
Command succeeded

2. Laden Sie die Datei viruschecker.config herunter und überprüfen Sie, ob shutdown=no oder shutdown=viruschecking angezeigt wird:

Öffnen der Unity-Benutzeroberfläche>Speicher > NAS-Server >Sicherheit >Virenschutz >Aktuelle Konfiguration abrufen (Datei anzeigen) 

3. Aktualisieren Sie den Wert viruschecker.conf (Neue Konfiguration hochladen) und wenden Sie die Änderungen an:

# Example: OV-xxx-x-xxx-xx-001
#
masks=*.EXE:*.COM:*.DOC:*.DOT:*.XL?:*.MD?:*.VXD:*.386:*.SYS:*.BIN:*.ppt:*docx:*.rar:*.zip:*.txt
excl=pagefile.sys:*.tmp
# masks=*.RTF:*.OBD:*.DLL:*.SCR:*.OBT:*.PP?:*.POT:*.OLE:*.SHS:*.MPP
# masks=*.MPT:*.XTP:*.XLB:*.CMD:*.OVL:*.DEV
# masks=*.ZIP:*.TAR:*.ARJ:*.ARC:*.Z
addr=172.xx.xx.xx >> AV Server IP address
shutdown=no (update the value to shutdown=viruschecking and upload the viruschecker.conf file to unity GUI)
# Stops SMB/CIFS if no AV machine available.(No Windows clients can access any Unity share)

 

08:18:51 root@DE414234378xxx spa:/cores/service/user# svc_cava OV-xxx-x-xxx-xx-001
OV-xxx-x-xxx-xx-001: commands processed: 1
command(s) succeeded
output is complete
1712650760: VC: 5: OV-xxx-x-xxx-xx-001: Enabled and Started.
1712650760: VC: 5: 1 Checker IP Address(es):
1712650760: VC: 5: 172.xx.xx.xx                                   ONLINE at Tue Apr  9 08:19:14 2024 (GMT-00:00)
1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )
1712650760: VC: 5:                                                Remediation Window: 30 seconds
1712650760: VC: 5:                                                Server Name: 172.xx.xx.xx
1712650760: VC: 5:                                                Last time signature updated: Tue Apr  9 05:29:36 2024 (GMT-00:00)
1712650760: VC: 5:
1712650760: VC: 5: 15 File Mask(s):
1712650760: VC: 5: *.EXE *.COM *.DOC *.DOT *.XL? *.MD? *.VXD *.386 *.SYS *.BIN *.PPT *DOCX *.RAR
1712650760: VC: 5: *.ZIP *.TXT
1712650760: VC: 5: 2 Excluded File(s):
1712650760: VC: 5: PAGEFILE.SYS *.TMP
1712650760: VC: 5: Share \\ov-yml-p-ser-fs-001.yoma.com.mm\CHECK$.
1712650760: VC: 5: RPC request timeout=25000 milliseconds.
1712650760: VC: 5: RPC retry timeout=5000 milliseconds.
1712650760: VC: 5: High water mark=200.
1712650760: VC: 5: Low water mark=50.
1712650760: VC: 5: Scan all virus checkers every 10 seconds.
1712650760: VC: 5: When all virus checkers are offline:
1712650760: VC: 5: Continue to work with Virus Checking and CIFS.
1712650760: VC: 5: Scan on read disable.
1712650760: VC: 5: MS-RPC User: OV-xxx-x-xxx-xx-001-FS$
1712650760: VC: 5: MS-RPC ClientName: ov-xxx-x-xxx-xx-001.abc
 Command succeeded

Das Problem wurde behoben und CAVA funktionierte nach dem Ändern der Netzwerk-IP wieder ordnungsgemäß.

Empfehlung zum Troubleshooting:

1. Bestätigen Sie die Einstellungen von viruschecker.conf. (shutdown=viruschecking)
2. Vergewissern Sie sich, dass der CAVA-Service mit dem AV-Nutzerkonto ausgeführt wird.
3. Bestätigen Sie, dass der installierte Virenschutzdienst (Sophos, TrendMicro, McAfee usw.) mit dem lokalen Systemkonto ausgeführt wird.
4. Vergewissern Sie sich, dass der AV-Nutzer Mitglied der lokalen Admin-Gruppe auf jedem AV-Server ist.
5. Vergewissern Sie sich, dass Antiviren- und CEE-Programme in der richtigen Reihenfolge installiert wurden: zuerst CEE, dann Antivirenprogramm.
6. Starten Sie die CAVA-Services neu.
7. Starten Sie den Virenschutzserver einmal neu
8. Vergewissern Sie sich, dass die CAVA-Server nur über eine Netzwerkschnittstelle verfügen.
9. Überprüfen Sie mit dem Nutzer, ob der Clientcomputer denselben oder anderen Netzwerk-IPs der NAS-Server zugewiesen ist (es wird immer empfohlen, dass er sich im selben Netzwerk befindet).

In diesem Szenario handelt es sich bei der AV-Engine des Drittanbieters um Sophos Central Intercept X, die jedoch als Microsoft Anti-Virus angezeigt wird. Aus diesem Grund muss der Microsoft-Anbieter deaktiviert werden (die Schritte und der Artikel zum Deaktivieren des Microsoft-Antivirenprogramms werden genannt)

1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )

Best Practices:

1. Richten Sie nicht die Richtlinie "VirusChecking=No" ein, da dies zu blockierten Threads führen kann und nicht als Best Practice gilt.
2. Verwenden Sie keinen einzigen AV-Server, da dies nicht empfohlen wird.
3. Verwenden Sie nicht einen einzigen AV-Server für mehrere Plattformen, da dies nicht empfohlen wird und als nicht unterstützt betrachtet werden sollte.

Wenn das Problem weiterhin besteht, müssen sich NutzerInnen an den Virenschutz-Drittanbietersupport wenden, um weitere Unterstützung zu erhalten.

Weitere Informationen finden Sie in den folgenden Dokumenten:

• Deaktivieren des Defender-Virenschutzes in der Windows-Sicherheit
• Dell CEE mit Common Event Enabler auf Windows-Plattformen