El proceso Mue_InUse deja de responder en los sistemas Linux/macOS/MLOS y consume el 100 % de la CPU
Artículos técnicos ID:
KB95203
Última modificación: 2023-07-14 11:29:42 Etc/GMT
Entorno
Advanced Threat Defense (ATD) 4.x Data Exchange Layer (DXL) 6.x, 5.x Endpoint Security para Linux Threat Prevention 10.7.x, 10.6.x Endpoint Security para Mac Threat Prevention 10.7.x, 10.6.x Threat Intelligence Exchange (TIE) Server 4.x, 3.x, 2.x Trellix Agent 5.x
Sistemas operativos Linux/macOS/MLOS compatibles
AMCore contenido v3 versión 4683
Problema
1
Observa lo siguiente en su sistema Linux:
- El proceso Mue_InUse deja de responder.
- El proceso finalmente consume el 100 % de la CPU.
Verá los siguientes errores en el archivo McScript.log ( /Var/McAfee/agent/logs/):
[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/amcore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->
Consulte el proceso Mue_InUse en un estado que no responde. Debe finalizar el proceso para restaurar su función. La CPU se acerca al 100%:
Problema
2
La MEDDAT actualización de contenido falla en su macOS sistema:
Consulte los errores a continuación en el McScript.log archivo ( /var/McAfee/agent/logs/):
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/amcore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section DetectInstalledProductsAndUpdate]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section GetDetectionScripts]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section FindAndExecuteDetectionScripts]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughProductIDList]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughFile]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/amcore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
Problema
3
Mientras el sistema registra el error Parse error line 350 column 36: Unexpected empty value, también puede causar que McScript.log consuma más espacio en disco que el que está configurado en la política del agente. El proceso no ejecuta el comando log rotate y consume espacio en disco hasta que se reinicia el sistema o se finaliza el proceso Mue_InUse.
Motivo
Los síntomas se derivan de los cambios de producción realizados en el paquete de contenido AMCore, donde el script de implementación Extra.DAT ( extradat.mcs) se actualiza para incluir compatibilidad con plataformas distintas de Windows.
Aunque los sistemas Linux y macOS no usan AMCore contenido, la forma en que se implementan las actualizaciones muestra que el agente ejecuta el script de actualización de contenido para AMCORDAT2000 en estas plataformas. Una diferencia en el comportamiento entre las plataformas de Windows y las que no son de Windows al analizar el script genera un error solo para los sistemas que no son de Windows. El comportamiento del motor de secuencias de comandos en este escenario es volver a intentar ejecutar la secuencia de comandos. Este comportamiento crea un bucle lógico que causa el síntoma de alto consumo de CPU del proceso Mue_InUse.
Solución
Este problema se resolvió en AMCore versión de contenido 4684.
IMPORTANTE:
- La versión de contenido 4684 no finaliza ninguna Mue_InUse sesión que aún se esté ejecutando.
- La versión de contenido 4684 detiene los errores que se ven en este artículo en cualquier tarea creada que tenga AMCore contenido seleccionado en una tarea de actualización.
NOTA: Por diseño, el proceso Mue_InUse tiene el comando sigkill codificado y finaliza automáticamente después de seis horas. Por lo tanto, puede decidir esperar a que finalice el proceso Mue_InUse.
Configure la tarea de actualización para instalar solo el componente MEDDAT y, si se usa, el contenido de Linux de prevención de exploits de Endpoint Security.
Acciones en la consola de ePO:
- Inicie sesión en la consola de ePO.
- Seleccione el grupo respectivo donde el sistema está informando.
- Haga clic en Tareas de cliente asignadasy edite las tareas de actualización de productos.
- Anule la selección de la opción AMCORE para sistemas con sistemas operativos Linux/macOS/MLOS en el grupo.
-
Guarde la tarea.
- Para aplicar los cambios, envíe la llamada de atención a todos los sistemas.
IMPORTANTE: Deshabilite todas las tareas de actualización de contenido que están habilitadas desde la consola de ePO. Mantenga estas tareas deshabilitadas hasta que el contenido se haya actualizado ( AMCore versión 4684) y el problema del proceso Mue_InUse se haya mitigado.
Solución temporal
1
Finalice el proceso Mue_Inuse en el cliente.
Acciones sobre el problema del sistema Linux/macOS/MLOS:
- Conéctese al sistema problemático mediante SSH con el usuario raíz.
- Para determinar los procesos que se ejecutan en el sistema, ejecute el comando top :
-bash-4.1# top
Salida
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3559 root 20 0 538m 411m 9240 R 85.6 5.2 1 17:08.57 Mue_InUse
- Ejecute el siguiente comando para finalizar el proceso Mue_Inuse existente en el estado que no responde:
sudo pkill -f Mue_InUse
IMPORTANTE: Si el comando pkill no finaliza el proceso, escriba lo siguiente:
kill -9 <PID number of Mue_Inuse>
Ejemplo: kill -9 3559
- Si tiene varias instancias de los procesos Mue_InUse, escriba lo siguiente:
killall -9 Mue_InUse
NOTA: El comando anterior cierra todos los procesos Mue_InUse en una sola acción.
Solución de secuencia de comandos opcional:se adjunta una secuencia de comandos .sh a este artículo para usar manualmente con un usuario raíz.
- Descargue el archivo killMue.zip en la sección "Adjunto" de este artículo.
- Extraiga el contenido a una carpeta.
- Copie el killMue.sh al sistema del problema.
- Conéctese al sistema a través de SSH.
- Navegue a la carpeta donde copió el archivo .sh.
Ejemplo: Archivo copiado a /tmp/
- Escriba el comando:
[root@SGPRGC109002 tmp]# ls -ll /tmp/
Salida:
total 41744
-rwxr-xr-x. 1 root root 90 Jan 19 17:29 killMue.sh
- Para ejecutar el archivo .sh, primero debe asignar el permiso al archivo antes de poder ejecutarlo. Si no asigna el permiso, obtendrá el siguiente error:
[root@SGPRGC109002 ~]# cd /tmp/
[root@SGPRGC109002 tmp]# ./killMue.sh
-bash: ./killMue.sh: Permission denied
NOTA: De manera predeterminada, el archivo no tiene permisos de ejecución.
[root@SGPRGC109002 tmp]# ls -ll /tmp/
Salida:
total 41744
-rw-r--r--. 1 root root 90 Jan 19 17:29 killMue.sh
- Asigne los permisos de ejecución:
[root@SGPRGC109002 tmp]# chmod +x /tmp/killMue.sh
[root@SGPRGC109002 tmp]# ./killMue.sh
[root@SGPRGC109002 tmp]#
- Para automatizar este procedimiento, utilice un tercero herramienta.
Solución temporal
2
Si se encuentra una sola instancia del proceso Mue_InUse, siga los pasos a continuación:
- Deshabilite todas las tareas de actualización de contenido que están habilitadas desde la consola de ePO.
- Amplíe el nuevo contenido en el repositorio principal de ePO: V2 DAT [10232], MEDDAT [4855] y V3 DAT [4684.0].
- Habilite todas las tareas de actualización de contenido de Linux.
- Empuje las tareas de actualización del producto para actualizar el nuevo contenido en todos los sistemas cliente.
NOTA: Por diseño, el proceso Mue_InUse tiene el comando sigkill codificado y finaliza automáticamente después de seis horas. Por lo tanto, puede esperar a que finalice el proceso Mue_InUse.
Solución temporal
3
Si tiene varios sistemas Linux afectados, la herramienta RemoteKillMue puede permitirle eliminar de forma remota el proceso Mue_InUse desde un sistema Windows. Descargue el archivo RemoteKillMue.zip en la sección "Adjunto" de este artículo. Siga las instrucciones en el Readme.txt fileincluido.
NOTA: La herramienta requiere que todos los sistemas remotos tengan SSH habilitado, que se permita el inicio de sesión raíz para SSH y que todos compartan una contraseña raíz.
Solución temporal
4
Para determinar si los archivos McScript.log y las copias de seguridad asociadas están consumiendo el espacio después de que finalizó el proceso Mue_InUse, ejecute el siguiente comando. El comando enumera los archivos de registro del agente y sus respectivos tamaños:
ls -lh /var/McAfee/Agent/logs
Si los archivos son más grandes que lo que se definió en la política del agente, puede eliminar los archivos y reiniciar el servicio del agente o reiniciar el sistema.
Comando de ejemplo para eliminar el archivo McScript.log actual:
NOTA: Debe tener acceso raíz para realizar estas acciones. En los sistemas MLOS (TIE o DXL), es posible que la cuenta de servicio no pueda eliminar los archivos.
Para Linux:
sudo rm -rf /var/McAfee/agent/logs/McScript.log
Para MLOS:
[mcafee@mcafee~]#suContraseña: bash-4.1# rm -rf /var/McAfee/agent/logs/McScript.log
NOTA: Ingrese la contraseña raíz cuando se le solicite.
Consulte los siguientes artículos sobre los comandos de servicio del agente:
Solución temporal
5
El privilegio ATDRoot está restringido en ATD. Entonces, para abordar los síntomas en ATD, tiene dos opciones:
- Aplicar un paquete instalable.
- Abra una solicitud de servicio y solicite una sesión remota.
IMPORTANTE: Asegúrese de actualizar la tarea de actualización del producto en ePO según la sección "Solución", después de completar cualquiera de las opciones anteriores.
Aplicación de un paquete instalable:busque un paquete en la sección "Adjunto" de este artículo, que finaliza el proceso de giro Mue_InUse y elimine los registros.
- Descargue el atdpatch_MueInuse.zipy extraiga el archivo atdpatch_MueInuse.msu.
- Suba atdpatch_MueInuse.msu (en formato .msu ) a ATD usando la cuenta atdadmin .
- Inicie sesión en la interfaz de línea de comandos con la cuenta cliadmin y ejecute el siguiente comando:
install msu atdpatch_MueInuse.msu
- En la ejecución, es posible que vea algunos errores similares a los siguientes.
Error: job pid is not running: 2761
Error: Software Installation failed
Puede ignorar los errores con seguridad. El archivo atdpatch_MueInuse.msu tiene un formato especial. A diferencia de los paquetes de actualización regulares, donde la interfaz de línea de comandos solo monitorea el progreso de la instalación del paquete de actualización regular:
NOTA: Termina en 30 segundos.
- Vaya a Administrar, Registros, Sistema en la interfaz ATD.
- Confirme que las siguientes entradas de registro están presentes. Estos registros indican que el paquete se aplicó correctamente.
Thu Jan 27 14:06:49 IST 2022::Installing software...
Thu Jan 27 14:06:49 IST 2022::Completed software installation, please reboot the system
- Reinicie manualmente el ATD desde la interfaz de línea de comandos mediante el comando reboot .
ATD funciona normalmente después del reinicio. Supervise el uso de la CPU y el progreso del trabajo de escaneo en la GUI de ATD.
Abra una solicitud de servicio y solicite una sesión remota.
Un ingeniero de soporte técnico puede tomar el control de una sesión remota y finalizar el proceso infractor de Mue_InUse o eliminar los archivos de registro grandes.
Si experimenta un alto consumo de CPU o un alto uso de espacio en disco, abra una solicitud de servicio. Incluya este número de artículo y solicite una sesión remota.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
- Si no es un usuario registrado, haga clic en registrar y rellene los campos. Se le enviaron por correo electrónico su contraseña y sus instrucciones.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|