Mue_InUse proceso no responde en Linux/macOS/MLOS sistemas, lo cual consume 100% de la CPU

Artículos técnicos ID: KB95203
Última modificación: 2022-07-01 06:13:52 Etc/GMT

Entorno

Advanced Threat Defense (ATD) 4.x
Data Exchange Layer (DXL) 6.x , 5.x
McAfee Agent (MA) 5.x
Endpoint Security for Linux Prevención de amenazas (ENSLTP) 10.7.x , 10.6.x
Endpoint Security para Mac (ENSM) Prevención de amenazas 10.7.x , 10.6.x
Servidor 3.x de Threat Intelligence Exchange (empate), 2.x

Sistemas operativos
AMCore compatibles con Linux/MacOS/MLOS Systems V3 versión 4683

Problema 1

En su sistema Linux, observa lo siguiente:

El proceso deja de Mue_InUse responder.
El proceso utiliza finalmente 100% de CPU.

Verá los siguientes errores en el McScript.log archivo ( /Var/McAfee/agent/logs/ ):

[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/amcore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->

Verá el Mue_InUse proceso en un estado que no responde. Debe finalizar el proceso para restaurar su función. La CPU se está aproximando al 100%:

Mue_InUse process approaches 100% CPU

Problema 2

La actualización de contenido de MEDDAT falla en el sistema macOS:

Verá los siguientes errores en el McScript.log archivo ( /var/McAfee/agent/logs/ ):

[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/amcore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section DetectInstalledProductsAndUpdate]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section GetDetectionScripts]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section FindAndExecuteDetectionScripts]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughProductIDList]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughFile]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/amcore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:

Problema 3

Mientras el sistema está registrando el Parse error line 350 column 36: Unexpected empty value error, también podría provocar McScript.log que consuma más espacio en disco del que se ha configurado en la Directiva McAfee Agent. El proceso no realiza el log rotate comando y consume espacio en disco hasta que se reinicia el sistema o se termina el Mue_InUse proceso.

Motivo

Los síntomas provienen de los cambios de producción realizados en el AMCore paquete de contenido, donde se ha actualizado el script de despliegue ( extradat.mcs ) para incluir el soporte de la Extra.DAT plataforma no Windows.

Aunque los sistemas Linux y macOS no utilizan AMCore contenido, la forma en que se despliegan las actualizaciones significaba que el McAfee Agent ejecutaría la actualización de contenido script para AMCORDAT2000 en estas plataformas. Una diferencia de comportamiento entre las plataformas Windows y no Windows cuando se analiza el script provocaba un error solo para sistemas distintos de Windows. El comportamiento del motor de script en este caso es volver a intentar ejecutar el script. Este comportamiento creaba un bucle lógico que provocaba un síntoma de la CPU alta del Mue_InUse proceso.

Solución

Este problema se ha resuelto en la versión 4684 de AMCore contenido.

IMPORTANTE:

La versión de contenido de 4684 no finaliza para los Mue_InUse sesiones que aún se estén ejecutando.
La versión de contenido de 4684 detiene los errores observados en este artículo en todas las tareas creadas que tengan AMCore contenido seleccionado en una tarea de actualización.

Nota: Por diseño, el Mue_InUse proceso tiene el sigkill comando codificado y se cierra automáticamente tras seis horas. Por lo tanto, podría esperar a que se termine el proceso de Mue_InUse .

Configure la tarea de actualización para instalar solo el MEDDAT componente y, si se utiliza, Endpoint Security prevención de exploit Linux contenido.

Acciones en la consola de ePO:

Inicie sesión en la consola de ePO.
Seleccione el grupo respectivo en el que el sistema va a informar.
Haga clic en tareas cliente asignadasy edite las tareas de actualización del producto .
Anule la selección de la AMCORE opción para los sistemas con sistemas operativos Linux/MacOS/MLOS en el grupo.
Guarde la tarea.
Para aplicar los cambios, envíe la llamada de activación a todos los sistemas.

IMPORTANTE: Desactive todas las tareas de actualización de contenido que estén activadas desde la consola de ePO. Mantenga estas tareas desactivadas hasta que se haya actualizado el contenido ( AMCore versión 4684 ) y se haya mitigado el problema del Mue_InUse proceso.

Solución temporal 1

Finalice el Mue_Inuse proceso en el cliente.

Acciones sobre el problema Linux/macOS/MLOS System:

Conéctese al sistema problemático mediante SSH con el usuario raíz.
Para determinar los procesos que se ejecutan en el sistema, ejecute el top comando:

-bash-4.1# top

Salida

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3559 root 20 0 538m 411m 9240 R 85.6 5.2 1 17:08.57 Mue_InUse
Ejecute el siguiente comando para finalizar el proceso existente Mue_Inuse en el estado de no respuesta:

sudo pkill -f Mue_InUse

importante: si el pkill comando no puede finalizar el proceso, escriba:

kill -9 <PID number of Mue_Inuse>

Como kill -9 3559
Si tiene varias instancias de los Mue_InUse procesos, escriba lo siguiente:

killall -9 Mue_InUse

Nota: el comando anterior cierra todos Mue_InUse los procesos en una sola acción.

Solución script opcional:
Se adjunta un .sh script a este artículo para utilizarlo de forma manual con un usuario raíz.

Descargue el archivo killMue.zip en la sección datos adjuntos de este artículo.
Extraiga el contenido a una carpeta.
Copie el killMue.sh al sistema problemático.
Conéctese al sistema a través de SSH.
Desplácese hasta la carpeta en la que ha copiado el .sh archivo.

Ejemplo: Archivo copiado /tmp/

Escriba el comando:

[root@SGPRGC109002 tmp]# ls -ll /tmp/

Salida:
total 41744
-rwxr-xr-x. 1 root root 90 Jan 19 17:29 killMue.sh
Para ejecutar el .sh archivo, primero debe asignar el permiso al archivo para poder ejecutarlo. Si no asigna el permiso, obtendrá el siguiente error:

[root@SGPRGC109002 ~]# cd /tmp/
[root@SGPRGC109002 tmp]# ./killMue.sh
-bash: ./killMue.sh: Permission denied

Nota: de forma predeterminada, el archivo no tiene permisos de ejecución.

[root@SGPRGC109002 tmp]# ls -ll /tmp/

Salida:
total 41744
-rw-r--r--. 1 root root 90 Jan 19 17:29 killMue.sh
Asigne los permisos de ejecución:

[root@SGPRGC109002 tmp]# chmod +x /tmp/killMue.sh
[root@SGPRGC109002 tmp]# ./killMue.sh
[root@SGPRGC109002 tmp]#
Para automatizar este procedimiento, utilice una herramienta de terceros.

Solución temporal 2

Si se encuentra una sola instancia del Mue_InUse proceso, siga los pasos que se indican a continuación:

Desactive todas las tareas de actualización de contenido que estén activadas desde la consola de ePO.
Actualizar al nuevo contenido en el repositorio principal de ePO: V2 DAT [10232], MEDDAT [4855] y V3 DAT [ 4684.0 ].
Active todas Linux tareas de actualización de contenido.
Inserte tareas de actualización de productos para actualizar el nuevo contenido a todos los sistemas cliente.

Nota: Por diseño, el Mue_InUse proceso tiene el sigkill comando codificado y se cierra automáticamente tras seis horas. Por lo tanto, puede esperar a que el Mue_InUse proceso termine.

Solución temporal 3

Si se ven afectados varios sistemas Linux, la RemoteKillMue herramienta puede permitirle eliminar de forma remota el Mue_InUse proceso de un sistema Windows. Descargue el RemoteKillMue.zip archivo en la sección datos adjuntos de este artículo. Siga las instrucciones que se incluyen Readme.txt en el.

Nota: La herramienta requiere que los sistemas remotos tengan activado SSH, que se permita el inicio de sesión raíz para SSH y que todos compartan una contraseña raíz.

Solución temporal 4

Para determinar si McScript.log los archivos y las copias de seguridad asociadas están consumiendo espacio una vez finalizado el Mue_InUse proceso, ejecute el siguiente comando. El comando enumera McAfee Agent archivos de registro y sus respectivos tamaños:

ls -lh /var/McAfee/Agent/logs

Si los archivos son más grandes que los que se han definido en la Directiva de McAfee Agent, puede eliminarlos y reiniciar el servicio de McAfee Agent o reiniciar el sistema.

Ejemplo de comando para eliminar el archivo actual McScript.log :
Nota: debe tener acceso a la raíz para realizar estas acciones. En MLOS sistemas (empate o DXL), es posible que la cuenta de servicio no pueda eliminar los archivos.

Para Linux:

sudo rm -rf /var/McAfee/agent/logs/McScript.log

Para MLOS:

[mcafee@mcafee~]#su
Contraseña:
Bash- 4.1 #rm -rf /var/McAfee/agent/logs/McScript.log

Nota: Introduzca la contraseña raíz cuando se le solicite.

Consulte los siguientes artículos para obtener McAfee Agent comandos de servicio:

Para obtener McAfee Agent comandos de servicio en Linux/MLOS, consulte: KB52707-McAfee Agent modificadores de línea de comandos.
Para obtener McAfee Agent comandos de servicio en macOS, consulte: KB83950-cómo iniciar y detener los servicios de McAfee Agent en Mac OS X 10.10 y posteriores.

Solución temporal 5

Advanced Threat Defense
El privilegio de raíz está restringido en ATD. Por lo tanto, para solucionar los síntomas de ATD, tiene dos opciones:

Aplicar un paquete instalable.
Abra una solicitud de servicio y solicite una sesión remota.

IMPORTANTE: Asegúrese de actualizar la tarea de actualización de productos en ePO según la sección solución, tras completar cualquiera de las opciones anteriores.

Aplicando un paquete instalable:
Buscar un paquete en la sección datos adjuntos de este artículo, que finaliza el proceso de giro Mue_InUse y elimina los registros.

atdpatch_MueInuse.zipDescargar y extraer el archivoatdpatch_MueInuse.msu.
Cargue atdpatch_MueInuse.msu (en formato . msu ) a ATD mediante la atdadmin cuenta.
Inicie sesión en la interfaz de línea de comandos mediante cliadmin cuenta y ejecute el comando:

install msu atdpatch_MueInuse.msu
En la ejecución, es posible que aparezcan algunos errores similares a los siguientes.

Error: job pid is not running: 2761
Error: Software Installation failed

Puede ignorar los errores de forma segura. El archivo atdpatch_MueInuse.msu tiene un formato especial. A diferencia de los paquetes de actualización normales, en los que la interfaz de línea de comandos solo supervisa el progreso de la instalación del paquete de ampliación normal:

NOTA: Finaliza en un plazo de 30 segundos.
Vaya a Administración, registrosy sistemas en la interfaz de ATD.
Confirme que las siguientes entradas de registros estén presentes. Estos registros indican que el paquete se ha aplicado correctamente.

Thu Jan 27 14:06:49 IST 2022::Installing software...
Thu Jan 27 14:06:49 IST 2022::Completed software installation, please reboot the system
Reinicie manualmente el ATD desde la interfaz de línea de comandos mediante el comando reiniciar .

ATD se ejecuta con normalidad después del reinicio. Supervise el uso de la CPU y el progreso del trabajo en la interfaz gráfica de usuario de ATD.

Apertura de una solicitud de servicio y solicitud de una sesión remota

Un ingeniero de Soporte técnico puede tomar el control de una sesión remota y terminar el proceso de Mue_InUse problemático o eliminar los archivos de registro de gran tamaño.

Si se produce un uso elevado de la CPU o un uso elevado del espacio en disco, abra una solicitud de servicio. Incluya este número de artículo y solicite una sesión remota.

Para crear una solicitud de servicio, inicie sesión en ServicePortal:

Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
Si no es un usuario registrado, haga clic en registrar y rellene los campos. Se le enviaron por correo electrónico su contraseña y sus instrucciones.

Información relacionada

Esta sección se actualizará según sea necesario para responder a las preguntas frecuentes.

¿Dónde se ejecuta AMCore la script o McAfee Agent?
El script forma parte del paquete de AMCore contenido V3. Una vez que McAfee Agent descarga la script, la script se ejecuta en el cliente a través del motor de script de McAfee Agent ( Mue_InUse ).

Si el script se ha ejecutado en McAfee Agent, ¿cómo AMCore se ha corregido?
El script dentro del AMCore contenido V3 se ha revertido a una versión anterior.

Si el problema se produjo en AMCore la ubicación desde la que se ejecuta la script?
El problema se produjo en la AMCore script activar un bucle de CPU inesperado en el motor de script de McAfee Agent.

Archivo adjunto 1

killMue.zip
241Bytes • < 1 minute @ broadband

Archivo adjunto 2

RemoteKillMue.zip
2K • < 1 minute @ broadband

Archivo adjunto 3

atdpatch_MueInuse.zip
3K • < 1 minute @ broadband

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Productos implicados

Idiomas:

Este artículo se encuentra disponible en los siguientes idiomas:

Knowledge Center

Mue_InUse proceso no responde en Linux/macOS/MLOS sistemas, lo cual consume 100% de la CPU

Entorno

Problema 1

Problema 2

Problema 3

Motivo

Solución

Solución temporal 1

Solución temporal 2

Solución temporal 3

Solución temporal 4

Solución temporal 5

Información relacionada

Archivo adjunto 1

Archivo adjunto 2

Archivo adjunto 3

Descargo de responsabilidad

Productos implicados

Idiomas:

Title

Title

Knowledge Center

Mue_InUse proceso no responde en Linux/macOS/MLOS sistemas, lo cual consume 100% de la CPU

Entorno

Problema 1

Problema 2

Problema 3

Motivo

Solución

Solución temporal 1

Solución temporal 2

Solución temporal 3

Solución temporal 4

Solución temporal 5

Información relacionada

Archivo adjunto 1

Archivo adjunto 2

Archivo adjunto 3

Descargo de responsabilidad

Productos implicados

Idiomas:

Wählen Sie Ihre Region

Title

Title