防勒索客户端和备份任务异常状态排查

如果防勒索客户端或备份任务出现了异常,会导致云安全中心无法保护您的重要文件或数据。建议您及时排查异常情况,防止勒索软件攻击导致的数据丢失或加密。本文介绍为服务器创建勒索防护策略后,防勒索客户端和备份任务异常状态的原因排查及处理方式。

前提条件

已为服务器创建防护策略。更多信息,请参见创建防护策略

防勒索客户端异常状态排查

如何查看客户端异常状态原因

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 防勒索

  3. 服务器防勒索页签,查看客户端状态异常的服务器信息。

    单击策略名称前的展开图标,可查看当前策略下的所有服务器信息。

  4. 单击异常信息右侧的提示信息图标,查看客户端异常状态原因。image.png

  5. 根据错误详情对话框中的错误详情提示,处理客户端异常。查看客户端异常状态原因

客户端异常的原因及解决方案

重要

如果收到的客户端错误码未在下面表格中,您需要收集客户端日志信息并通过智能在线联系技术支持人员协助您处理异常。以下是您需要收集的日志列表。

  • 客户端安装日志:

    • Windows服务器:C:\Program Files (x86)\Alibaba\Aegis\PythonLoader\data\hbr.log

    • Linux服务器:/usr/local/aegis/PythonLoader/data/hbr.log

  • 客户端备份日志:

    • 防护策略版本为V1.0时

      • Windows服务器:C:\Program File (x86)\Alibaba\Aegis\hbr\logs

      • Linux服务器:/usr/local/aegis/hbr/logs

    • 防护策略版本为V2.0时

      • Windows服务器:C:\Program File (x86)\Alibaba\Aegis\hbrClient\logs

      • CoreOS服务器:/opt/aegis/hbrClient/logs

      • Linux服务器:/usr/local/aegis/hbrClient/logs

客户端错误码

错误详情提示

产生异常的原因

解决方案

CLOUD_ASSIST_NOT_RUN

云助手未开启。

云助手未正常启动。

登录ECS管理控制台,查看云助手服务状态是否正常。具体操作,请参见云助手故障排查问题

RoleNotExist

授权问题。

账号权限不足。

使用阿里云账号(主账号)或RAM用户(拥有AliyunRAMFullAccess权限)登录云安全中心控制台,在服务器防勒索页签,单击立即授权,为当前账号授权AliyunServiceRoleForHbrEcsBackupAliyunServiceRoleForSas角色。

CLIENT_CONNECTION_ERROR

客户端连接异常,请检查ECS实例网络后,再次重试。

网络连接失败。

重要

请先检查服务器是否安装第三方杀毒软件,如有,请先卸载后再执行以下步骤。

解决网络连接问题。操作步骤如下:

  1. 在ECS服务器上使用pingtelnet命令检查与防勒索网络接入点的网络是否连通,并检查是否配置了防火墙策略。关于防勒索网络接入点的更多信息,请参见防勒索网络接入点

  2. 解决网络连接问题后,登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载完成后单击安装,重新安装防勒索客户端。

ECS_ROLE_POLICY_NOT_EXIST

ECS role没有AliyunECSAccessingHBRRolePolicy count:446。

ECS对应的RAM角色缺少AliyunECSAccessingHBRRolePolicy策略,导致客户端安装失败。

解决权限策略问题后,重新安装防勒索客户端。操作步骤如下:

  1. 为ECS对应的RAM角色添加AliyunECSAccessingHBRRolePolicy策略。具体操作,请参见客户端安装失败,提示“EcsRamRole上缺少AliyunECSAccessingHBRRolePolicy的策略”错误

  2. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

重要

为ECS添加RamRole后,不会自动触发重新安装防勒索客户端。

CHECK_ACTIVATION_COMMAND_TIMEOUT

检查激活命令超时。

安装防勒索客户端超时。

重新安装防勒索客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  2. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

ECS_STOPPED

ECS停机。

ECS服务器未开机,导致客户端安装失败。

启动ECS服务器后,再安装防勒索客户端。操作步骤如下:

  1. 登录ECS管理控制台,启动ECS服务器。具体操作,请参见启动实例

  2. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

UNINSTALL_FAILED

卸载客户端失败。

云助手命令超时,导致客户端卸载失败。

重新安装防勒索客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,定位到卸载客户端失败的服务器,单击其操作列的删除

    说明

    删除防护策略中的服务器需要约2分钟时间,请您耐心等待。

  2. 将ECS服务器重新添加到之前的防护策略中。具体操作,请参见修改防护策略

  3. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

INSTALL_FAILED

安装失败。

云助手命令超时,导致客户端安装失败。

重新安装防勒索客户端。操作步骤如下:

  1. 确保目标服务器的云安全中心客户端Agent为在线状态。您可以在防护策略下的服务器列表中,将鼠标移动至目标服务器处,查看服务器的客户端状态。如果Agent为离线状态,排查的具体方法,请参见客户端离线排查

  2. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  3. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

UPGRADE_FAILED

升级失败。

升级客户端失败。

重新安装防勒索客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  2. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

AGENT_NOT_RUN_AFTER_INSTALLATION

安装后服务未启动。

之前卸载客户端时存在卸载注册表残留未清理,导致新的客户端无法启动。

清理注册表后,重新安装客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  2. 根据防护策略的版本,清理以下两项注册表。

    • 防护策略版本为V1.0时

      #1代客户端
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\hybridbackup
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\hbrupdater
    • 防护策略版本为V2.0时

      #二代客户端
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\hbrclient
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\hbrclientupdater
      HKEY_LOCAL_MACHINE\SOFTWARE\Alibaba, Inc.\Aliyun Hybrid Backup Service Client
      #64位特有
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B1F066FC-D85C-46F8-9ED7-88A4385AF9A6}}_is1
      #32位特有
      32位的系统删这个HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9A3FBAB2-A9B0-4F3B-951A-ABC72D58BA6D}}_is1
  3. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

FAILED_TO_DOWNLOAD_INSTALLER

下载安装包失败。

网络连接失败,导致安装包下载失败。

解决网络连接问题。操作步骤如下:

  1. 在ECS服务器上使用pingtelnet命令检查与防勒索网络接入点的网络是否连通,并检查是否配置了防火墙策略。关于防勒索网络接入点的更多信息,请参见防勒索网络接入点

  2. 解决网络连接问题后,登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

PRECHECK_COMMAND_FAILED

预检命令失败。

云助手命令超时。

重新安装防勒索客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  2. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

INSTALL_COMMAND_TIMEOUT

安装命令超时。

客户端安装命令超时,导致客户端安装失败。

重新安装防勒索客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  2. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

ServiceUnavailable

ServiceUnavailable。

授权问题或者超过QPS限制。

  • 使用阿里云账号(主账号)登录云安全中心控制台,在服务器防勒索页签,单击立即授权,为当前账号授权AliyunServiceRoleForHbrEcsBackupAliyunServiceRoleForSas角色。

  • 如果完成授权后,问题仍未解决,请通过智能在线咨询相关问题,获取在线人工帮助

CONFLICT_WITH_EXISTING_AGENT

跟已有客户端冲突。

与该服务器上已安装的客户端冲突。

重新安装防勒索客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  2. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

ACTIVATE_COMMAND_FAILED

客户端出现异常错误,您可以重新安装客户端,恢复业务正常运行,若仍失败,请您通过智能在线咨询相关问题,获取在线人工帮助

客户端异常。

重新安装防勒索客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  2. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

  3. 如果仍然失败,请通过智能在线咨询相关问题,获取在线人工帮助

CHECK_RUNNING_COMMAND_FAILED

检查服务启动命令失败。

服务异常。

重新安装防勒索客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  2. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

INSTALL_COMMAND_FAILED

执行安装命令失败。

防勒索客户端的安装被服务器上安装的安全软件拦截。

  1. 卸载服务器中安装的安全软件。

  2. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

备份任务异常状态排查

如何查看备份异常状态原因

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 防勒索

  3. 防勒索页面右上角,单击备份任务列表

  4. 备份任务列表面板,选择服务器备份任务页签,在搜索中添加筛选条件状态备份失败,单击image图标。image

  5. 单击目标备份任务状态列的image.png图标,查看备份任务失败的原因。

    image

  6. 根据错误详情对话框中的提示信息,参考下文处理备份任务异常问题。

    image.png

备份异常的原因及解决方案

客户端错误码

错误详情提示

产生异常的原因

解决方案

EXPIRED

备份超时。

  • 服务器网络问题。

  • 备份客户端在执行任务时服务器重启导致备份任务停止。

  • 云服务器ECS已停止运行。

  • 备份文件过多导致超时。

  • 客户端版本低,需要升级。

  • 网络问题排查建议:检查备份日志中是否有MQTT Connection Lost.信息,优化服务器网络配置。

  • ECS离线问题排查建议:检查ECS是否在线或者在备份时间段是否有重启任务等。

  • 备份文件过多处理建议:修改备份策略,排除一些不需要备份的文件目录。

SOURCE_NOT_EXIST

备份源路径不存在。

防护策略中指定的备份目录不存在。

在防护策略中重新设置备份目录。

OPEN_VAULT_FAILED

打开备份库失败。

  • 备份时访问OSS失败,建议检查网络配置。

  • 服务器中的本地时间与OSS服务时间相差过大。

  • 在云服务器ECS的hbrclient.log日志中,找到OSS的接入点,接入点的格式为oss-xxx.aliyuncs.com或者oss-xxx-internal.aliyuncs.com。在云服务器ECS上使用pingtelnet命令检查是否连通OSS接入点的网络。

  • 检查防火墙以及安全组是否已放行防勒索客户端的网络请求。

  • 检查是否被安全软件阻止建立网络连接。

  • 如客户端备份日志中出现ErrorCode=RequestTime TooSkewed, ErrorMessage="The difference between the request time and the current time is too large."字样,请检查服务器中的本地时间,如与OSS服务时间(即ECS服务器所在地域的时区时间,例如:中国内地为北京时间,海外地域为海外所在地域的时区时间)相差15分钟以上,需要修改服务器时间为OSS服务时间,并在服务器中执行以下命令重新启动防勒索客户端。

    systemctl restart hbrclient

INTERNAL_ERROR

内部错误。

防勒索客户端备份内部错误,通常为1.0版本客户端防护策略内部问题。

防勒索页面,找到1.0版本防护策略,单击防护策略操作列的升级,将1.0版本的防护策略升级为2.0。

如果升级后问题仍未解决,您需收集客户端日志并通过智能在线联系技术支持人员协助排查。

InternalError

killed

备份进程被系统关闭。

一般是CPU或者内存使用过高,导致系统强制关闭进程,使备份失败。

登录ECS管理控制台,在ECS实例详情的监控页签,查看备份时间段CPU和内存使用情况。如果备份进程占用过多资源,您可以限制客户端备份占用的资源。具体操作,请参见如何解决备份客户端OOM问题

CreateSnapshotFailed

备份结束时创建备份快照失败。

备份快结束时创建备份快照失败,一般是备份过程中访问OSS正常,备份结束时访问OSS异常。

您可以通过智能在线联系技术支持人员协助排查。

CONNECT_TO_VAULT_FAILED

连接备份库失败。

备份时访问OSS失败。

您需要检查网络配置问题。在云服务器ECS的hbrclient.log日志中,找到OSS的接入点,接入点的格式为oss-xxx-internal.aliyuncs.com。在云服务器ECS上使用pingtelnet命令检查是否连通OSS接入点的网络。

AppError: ErrorCode=TooManyConcurrentJobs, ErrorMessage=TooManyConcurrentJobs

当前该机器有较多备份任务仍在运行,无法启动新的备份任务。

一般是因为备份数据量大,或者备份速度较慢导致之前的备份任务未运行结束时,后续备份任务就已开启。

依次尝试以下方法,观察是否能解决问题:

  • 增加备份时间间隔,或者在配置防护策略时排除不必要的目录和文件。

    1. 在确认无历史备份数据或者不需要历史备份数据时,删除防护策略下的服务器。具体操作,请参见管理防护策略中的服务器

    2. 重新在防护策略下添加该服务器。在修改防护策略时,选择该服务器。具体操作,请参见修改防护策略

如果使用上述方法未能解决问题,请通过智能在线联系技术支持人员协助您处理。

EcsStopped

ECS停机。

ECS已停机。

建议检查ECS状态,确认ECS是否因欠费停机。

EcsReleased

ECS已释放。

ECS已被释放。

无。

ClientDisconnectedAegisClientNotOnline

云安全中心Agent客户端不在线,防勒索客户端不在线。

云安全中心Agent客户端和防勒索客户端均不在线。

  • 检查云安全中心Agent客户端状态,确保云安全中心Agent为在线状态。具体操作,请参见客户端离线排查

  • 检测防勒索客户端的在线状态,确保防勒索客户端为在线状态。

  • 检查防勒索客户端的网络通信状态,在ECS服务器上使用pingtelnet命令检查与防勒索网络接入点的网络是否连通,并检查是否配置了防火墙策略。关于防勒索网络接入点的更多信息,请参见防勒索网络接入点

ClientDisconnected

防勒索客户端不在线。

防勒索客户端不在线。

  • 检测防勒索客户端的在线状态,确保防勒索客户端为在线状态。

  • 检查防勒索客户端的网络通信状态,在ECS服务器上使用pingtelnet命令检查与防勒索网络接入点的网络是否连通,并检查是否配置了防火墙策略。关于防勒索网络接入点的更多信息,请参见防勒索网络接入点

OOM

内存使用过高。

备份目录下文件数据量过大会导致内存使用过高,超过一定范围会被系统强制关闭备份进程,导致备份失败。

具体内容,请参见OOM问题解决方案

JOB_CANCELED

备份中的任务主动关闭。

备份任务因策略停用或防勒索容量用尽主动关闭。

请确认防勒索策略是否停用。如果不是,请检查防勒索备份已使用容量是否超出总容量。您可以在防勒索页面查看已使用容量和总容量。

FILE_CACHE_NO_SPACE

文件缓存空间不足。

文件缓存所在磁盘的剩余空间不足(默认值为1 GB)。

磁盘扩容或更改文件缓存路径,请参见如何使用数据缓存加速文件备份?

ApplicationFileNotExist

客户端文件缺失。

由于被第三方安全软件或用户误删等原因,导致防勒索客户端文件缺失。

将防勒索客户端加入安全软件白名单,重新安装防勒索客户端。

0xC0000142

Windows系统备份进程无法正确初始化。

  • 安全软件限制。

  • 程序冲突。

  • 防勒索客户端文件缺失。

将防勒索客户端加入安全软件白名单,重新安装防勒索客户端。

3221225794

1

备份进程异常退出(所有未处理或未记录的IDS备份进程的异常退出都会以错误码1或2上报)。

V1.0版本防勒索客户端中未处理或未记录的错误。

安装V2.0版本的防勒索客户端。操作步骤如下:

  1. 登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。

    卸载完成后客户端状态显示为未安装

  2. 服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。

如果未能解决问题,请通过智能在线联系技术支持人员协助您处理。

2

相关文档