O processo Mue_InUse deixa de responder em sistemas Linux/macOS/MLOS, consumindo 100% da CPU
Artigos técnicos ID:
KB95203
Última modificação: 14/07/2023
Ambiente
Advanced Threat Defense (ATD) 4.x Data Exchange Layer (DXL) 6.x, 5.x Endpoint Security para Linux Threat Prevention 10.7.x, 10.6.x Endpoint Security para Mac Threat Prevention 10.7.x, 10.6.x Servidor Threat Intelligence Exchange (TIE) 4.x, 3.x, 2.x Agente Trellix 5.x
Sistemas operacionais de sistemas Linux/macOS/MLOS suportados
AMCore versão de conteúdo v3 4683
Problema
1
Você observa o seguinte em seu sistema Linux:
- O processo Mue_InUse deixa de responder.
- O processo eventualmente consome 100% da CPU.
Você vê os erros abaixo no arquivo McScript.log ( /Var/McAfee/agent/logs/):
[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/AMCore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->
Você vê o processo Mue_InUse em um estado sem resposta. Você precisa terminar o processo para restaurar sua função. A CPU está se aproximando de 100%:
Problema
2
A atualização de conteúdo MEDDAT falha em seu sistema macOS :
Você vê os erros abaixo no arquivo McScript.log ( /var/McAfee/agent/logs/):
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/AMCore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section DetectInstalledProductsAndUpdate]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section GetDetectionScripts]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section FindAndExecuteDetectionScripts]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughProductIDList]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughFile]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/AMCore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
Problema
3
Enquanto o sistema está registrando o erro Parse error line 350 column 36: Unexpected empty value, ele também pode fazer com que McScript.log consuma mais espaço em disco do que o configurado na política do agente. O processo não executa o comando log rotate e consome espaço em disco até que o sistema seja reinicializado ou o processo Mue_InUse seja finalizado.
Causa
Os sintomas decorrem de alterações de produção feitas no pacote de conteúdo AMCore, onde o script de implantação Extra.DAT ( extradat.mcs) é atualizado para incluir suporte à plataforma não Windows.
Embora os sistemas Linux e macOS não utilizem AMCore conteúdo, a forma como as atualizações são implantadas mostra que o Agente executa o script de atualização de conteúdo para AMCORDAT2000 nessas plataformas. Uma diferença de comportamento entre plataformas Windows e não Windows ao analisar o script leva a um erro apenas para sistemas não Windows. O comportamento do Mecanismo de Script nesse cenário é tentar executar o script novamente. Esse comportamento cria um loop lógico causando o sintoma de alto consumo de CPU do processo Mue_InUse.
Solução
Esse problema foi resolvido na AMCore versão de conteúdo 4684.
IMPORTANTE:
- A versão de conteúdo 4684 não encerra nenhuma Mue_InUse seção que ainda esteja em execução.
- A versão de conteúdo 4684 interrompe os erros vistos neste artigo em qualquer tarefa criada que tenha conteúdo AMCore selecionado em uma tarefa de atualização.
NOTA: Por design, o processo Mue_InUse tem o comando sigkill codificado e termina automaticamente após seis horas. Portanto, você pode decidir esperar que o processo Mue_InUse seja encerrado.
Configure a tarefa de atualização para instalar apenas o componente MEDDAT e, se usado, Endpoint Security Exploit Prevention Linux Content.
Ações no console do ePO:
- Entre no console do ePO.
- Selecione o respectivo grupo onde o sistema está relatando.
- Clique em Tarefas de cliente atribuídase edite as tarefas de atualização do produto.
- Desmarque a opção AMCORE para sistemas com sistemas operacionais Linux/macOS/MLOS no grupo.
-
Salve a tarefa.
- Para aplicar as alterações, envie a chamada de ativação para todos os sistemas.
IMPORTANTE: Desabilite todas as tarefas de atualização de conteúdo habilitadas no console do ePO. Mantenha essas tarefas desativadas até que o conteúdo seja atualizado ( AMCore versão 4684) e o problema do processo Mue_InUse seja mitigado.
Solução alternativa
1
Finalize o processo Mue_Inuse no cliente.
Ações no problema do sistema Linux/macOS/MLOS:
- Conecte-se ao sistema problemático usando SSH com o usuário raiz.
- Para determinar os processos em execução no sistema, execute o comando top :
-bash-4.1# top
Output
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3559 root 20 0 538m 411m 9240 R 85.6 5.2 1 17:08.57 Mue_InUse
- Execute o comando abaixo para finalizar o processo Mue_Inuse existente no estado não responsivo:
sudo pkill -f Mue_InUse
IMPORTANTE: Caso o comando pkill não finalize o processo, digite o seguinte:
kill -9 <PID number of Mue_Inuse>
Exemplo: kill -9 3559
- Se você tiver várias instâncias dos processos Mue_InUse, digite o seguinte:
killall -9 Mue_InUse
NOTA: O comando acima fecha todos os processos Mue_InUse em uma ação.
Solução de script opcional:um script .sh está anexado a este artigo para ser usado manualmente com um usuário raiz.
- Baixe o arquivo killMue.zip na seção "Anexo" deste artigo.
- Extraia o conteúdo para uma pasta.
- Copie o killMue.sh para o sistema de problemas.
- Conecte-se ao sistema via SSH.
- Navegue até a pasta onde você copiou o arquivo .sh.
Exemplo: Arquivo copiado para /tmp/
- Digite o comando:
[root@SGPRGC109002 tmp]# ls -ll /tmp/
Saída:
total 41744
-rwxr-xr-x. 1 root root 90 Jan 19 17:29 killMue.sh
- Para executar o arquivo .sh, você deve primeiro atribuir a permissão ao arquivo antes de executá-lo. Se você não atribuir a permissão, receberá o erro abaixo:
[root@SGPRGC109002 ~]# cd /tmp/
[root@SGPRGC109002 tmp]# ./killMue.sh
-bash: ./killMue.sh: Permission denied
NOTA: Por padrão, o arquivo não tem permissões de execução.
[root@SGPRGC109002 tmp]# ls -ll /tmp/
Saída:
total 41744
-rw-r--r--. 1 root root 90 Jan 19 17:29 killMue.sh
- Atribua as permissões de execução:
[root@SGPRGC109002 tmp]# chmod +x /tmp/killMue.sh
[root@SGPRGC109002 tmp]# ./killMue.sh
[root@SGPRGC109002 tmp]#
- Para automatizar este procedimento, use um terceiro ferramenta.
Solução alternativa
2
Se uma única instância do processo Mue_InUse for encontrada, siga as etapas abaixo:
- Desabilite todas as tarefas de atualização de conteúdo habilitadas no console do ePO.
- Atualize para o novo conteúdo no repositório principal do ePO: V2 DAT [10232], MEDDAT [4855] e V3 DAT [4684.0].
- Habilite todas as tarefas de atualização de conteúdo Linux.
- Envie tarefas de atualização do produto para atualizar o novo conteúdo para todos os sistemas clientes.
NOTA: Por design, o processo Mue_InUse tem o comando sigkill codificado e termina automaticamente após seis horas. Portanto, você pode esperar que o processo Mue_InUse seja finalizado.
Solução alternativa
3
Se você tiver vários sistemas Linux afetados, a ferramenta RemoteKillMue pode permitir que você elimine remotamente o processo Mue_InUse de um sistema Windows. Baixe o arquivo RemoteKillMue.zip na seção "Anexo" deste artigo. Siga as instruções no Readme.txt fileincluído.
NOTA: A ferramenta requer que todos os sistemas remotos tenham SSH ativado, que o login root para SSH seja permitido e que todos compartilhem uma senha root.
Solução alternativa
4
Para determinar se os arquivos McScript.log e os backups associados estão consumindo o espaço após o término do processo Mue_InUse, execute o seguinte comando. O comando lista os arquivos de log do Agente e seus respectivos tamanhos:
ls -lh /var/McAfee/Agent/logs
Se os arquivos forem maiores do que o definido na política do Agente, você pode remover os arquivos e reiniciar o serviço do Agente ou reiniciar o sistema.
Comando de exemplo para remover o arquivo McScript.log atual:
NOTA: Você deve ter acesso root para executar essas ações. Em sistemas MLOS (TIE ou DXL), a conta de serviço pode não ser capaz de excluir os arquivos.
Para Linux:
sudo rm -rf /var/McAfee/agent/logs/McScript.log
Para MLOS:
[mcafee@mcafee~]#suSenha: bash-4.1# rm -rf /var/McAfee/agent/logs/McScript.log
NOTA: Digite a senha root quando solicitado.
Consulte os seguintes artigos para comandos de serviço do agente:
Solução alternativa
5
O privilégio ATDRoot é restrito em ATD. Portanto, para tratar os sintomas da ATD, você tem duas opções:
- Aplique um pacote instalável.
- Abra uma solicitação de serviço e solicite uma seção remota.
IMPORTANTE: Certifique-se de atualizar a tarefa de atualização do produto no ePO de acordo com a seção "Solução" depois de concluir uma das opções acima.
Aplicando um pacote instalável:encontre um pacote na seção "Anexo" deste artigo, que encerra o processo de rotação Mue_InUse e exclua os logs.
- Baixe o atdpatch_MueInuse.zipe extraia o arquivo atdpatch_MueInuse.msu.
- Carregue atdpatch_MueInuse.msu (no formato .msu ) para ATD usando a conta atdadmin .
- Faça logon na interface de linha de comando usando a conta cliadmin e execute o comando abaixo:
install msu atdpatch_MueInuse.msu
- Na execução, você pode ver alguns erros semelhantes aos abaixo.
Error: job pid is not running: 2761
Error: Software Installation failed
Você pode ignorar com segurança os erros. O arquivo atdpatch_MueInuse.msu tem um formato especial. Ao contrário dos pacotes de atualização regulares, onde a interface de linha de comando monitora apenas o progresso da instalação do pacote de atualização regular:
NOTA: Termina em 30 segundos.
- Vá para Gerenciar, Logs, Sistema na interface ATD.
- Confirme se as entradas de log abaixo estão presentes. Esses logs indicam que o pacote foi aplicado com êxito.
Thu Jan 27 14:06:49 IST 2022::Installing software...
Thu Jan 27 14:06:49 IST 2022::Completed software installation, please reboot the system
- Reinicie manualmente o ATD a partir da interface de linha de comando usando o comando reboot .
ATD é executado normalmente após a reinicialização. Monitore o uso da CPU e o andamento do trabalho de digitalização na GUI do ATD.
Abra uma solicitação de serviço e solicite uma seção remota
Um engenheiro de suporte técnico pode assumir o controle de uma seção remota e encerrar o processo Mue_InUse ofensivo ou excluir os arquivos de log grandes.
Se você tiver alto consumo de CPU ou alto uso de espaço em disco, abra uma solicitação de serviço. Inclua este número de artigo e solicite uma seção remota.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
- Se você não for um usuário registrado, clique em registrar e preencha os campos. Sua senha e suas instruções são enviadas por e-mail para você.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|
