Перейти к содержимому


Фото
- - - - -

Агент "Соединение не установлено"

агент

  • Please log in to reply
10 ответов в этой теме

#1 Lani4ok

Lani4ok

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 16 Июнь 2021 - 14:14

Хелп!! При установке Агента Dr.Web на некоторые сервера пишет ошибку "Соединение не установлено, Произошла неизвестная ошибка" .
Кто-то сталкивался с такой проблемой? Логи агента и сервера прикрепляю 

Прикрепленные файлы:



#2 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 16 Июнь 2021 - 14:44

Так-то, со стороны установщика это выглядит:

- в silent режиме: как-будто бы не смогли получить инфрмацию о сетапе

20210616.103701.05 db3 [04632 0fc4] pool:13 [TextProto/Client/I2S] Requesting info for file "90/win-es-agent-setup/9/common/win-es-agent-setup.exe" from 20-drwagent
20210616.103701.05 tr3 [04632 0fc4] pool:13 [TextProtocol] tcp://10.0.1.67:2193: snd <2 IEX_NEED_FILE_INFO 20-drwagent 90/win-es-agent-setup/9/common/win-es-agent-setup.exe %Z>
20210616.103701.06 db3 [04632 0fc4] pool:13 [Transport] tcp://10.0.1.67:2193: connection rejected, read operation cancelled
20210616.103701.06 tr3 [04632 12d4] pool:9 [Transformation] tcp://10.0.1.67:2193/dead: all filter removed from incoming and outcoming streams
20210616.103701.06 db3 [04632 12d4] pool:9 [Transformation] tcp://10.0.1.67:2193/dead: dead 256/132 (100% 256/132) (alive for 00.468)
20210616.103701.06 inf [04632 12d4] pool:9 [TextProto/Client/C2S] "tcp://10.0.1.67:2193/dead" disconnected

А в гуи режиме не нашли ни одного сервера, к которому смогли бы подключиться

20210616.094145.32 tr0 [03608 0ec8] pool:48 [Discovery/Explorer] Ignore this answer because of it not a server answer

...
20210616.094151.32 tr0 [03608 13f4] pool:47 [Discovery/Explorer] Received answer from udp://10.100.6.55:2193 <%00%0130859e51-d21d-b211-96f0-d87495950933%00%00%00%04%00%00%00%1E%00%00%009%00%00%00|%00%00%00%90>

Сетап почему-то ищет сервер среди агентов. Какие-то настройки при подключению к серверу указаны неверно.

 

Ну и в логе сервера происходящее наводит на мысль, что хорошо бы заглянуть в раздел транспорта конфигурации сервера и проверить что там прописано. Да модуль "frondoor", если не используется, можно выключить.


Сообщение было изменено Kirill Polubelov: 16 Июнь 2021 - 14:45

(exit 0)

#3 Lani4ok

Lani4ok

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 16 Июнь 2021 - 14:54

Так-то, со стороны установщика это выглядит:

- в silent режиме: как-будто бы не смогли получить инфрмацию о сетапе

20210616.103701.05 db3 [04632 0fc4] pool:13 [TextProto/Client/I2S] Requesting info for file "90/win-es-agent-setup/9/common/win-es-agent-setup.exe" from 20-drwagent
20210616.103701.05 tr3 [04632 0fc4] pool:13 [TextProtocol] tcp://10.0.1.67:2193: snd <2 IEX_NEED_FILE_INFO 20-drwagent 90/win-es-agent-setup/9/common/win-es-agent-setup.exe %Z>
20210616.103701.06 db3 [04632 0fc4] pool:13 [Transport] tcp://10.0.1.67:2193: connection rejected, read operation cancelled
20210616.103701.06 tr3 [04632 12d4] pool:9 [Transformation] tcp://10.0.1.67:2193/dead: all filter removed from incoming and outcoming streams
20210616.103701.06 db3 [04632 12d4] pool:9 [Transformation] tcp://10.0.1.67:2193/dead: dead 256/132 (100% 256/132) (alive for 00.468)
20210616.103701.06 inf [04632 12d4] pool:9 [TextProto/Client/C2S] "tcp://10.0.1.67:2193/dead" disconnected

А в гуи режиме не нашли ни одного сервера, к которому смогли бы подключиться

20210616.094145.32 tr0 [03608 0ec8] pool:48 [Discovery/Explorer] Ignore this answer because of it not a server answer

...
20210616.094151.32 tr0 [03608 13f4] pool:47 [Discovery/Explorer] Received answer from udp://10.100.6.55:2193 <%00%0130859e51-d21d-b211-96f0-d87495950933%00%00%00%04%00%00%00%1E%00%00%009%00%00%00|%00%00%00%90>

Сетап почему-то ищет сервер среди агентов. Какие-то настройки при подключению к серверу указаны неверно.

 

Ну и в логе сервера происходящее наводит на мысль, что хорошо бы заглянуть в раздел транспорта конфигурации сервера и проверить что там прописано. Да модуль "frondoor", если не используется, можно выключить.

В Конфигурации Веб-Сервера в разделе Транспорт стоит все в стандартном режиме 



#4 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 16 Июнь 2021 - 15:08

А на агенте не стоит какой-либо софт, который влезает в шифрованный трафик? Я не помню, с чем именно, но на такое уже наступал кто-то.


Семь раз отрежь – один раз проверь

#5 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 16 Июнь 2021 - 15:10

Нашёл, в тот раз, как утверждают, это был некий swMSM.


Сообщение было изменено Afalin: 16 Июнь 2021 - 15:11

Семь раз отрежь – один раз проверь

#6 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 16 Июнь 2021 - 15:13

Ключевое в логе вот это, как раз с проблемной станцией:

 

20210615.091254.38 inf [07088 1fd0] wrk:5  [Protocol] tcp://10.100.6.60:49517/pc: Old protocol version 3.12
20210615.091254.42 ERR [07088 1458] net:2  [Transport] tcp://10.100.6.60:49517: unable to execute application receive handler because of
20210615.091254.42 ERR [07088 1458] net:2  [Transport] \ unable to accept connection because of
20210615.091254.42 ERR [07088 1458] net:2  [Transport] \ no shared cipher (error 0x1408a0c1 from ssl3_get_client_hello (SSL routines))
20210615.091254.42 ERR [07088 1458] net:2  [Transport] exceptions::SSL_exception: unable to accept connection because of no shared cipher (error 0x1408a0c1 from ssl3_get_client_hello (SSL routines))
20210615.091254.74

Это говорит о том, что нечто влезло в процесс TLS-рукопожатия и сломало там обмен секретами, потому как знать не знает ничего то ли про ГОСТ, то ли про используемые нами параметры.


Семь раз отрежь – один раз проверь

#7 Lani4ok

Lani4ok

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 16 Июнь 2021 - 17:02

Я конечно почитал ваши ответы, но что делать то? Куда копать? 



#8 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 16 Июнь 2021 - 17:12

Наверно, тогда лучше обратиться в нашу службу техподдержки, потому что потребуется предоставить отчёт сисинфо с проблемной машины и, скорей всего и сервера. Для поиска этого софта.


Можно, конечно, отключить шифрование, но это такое себе решение.


Сообщение было изменено Kirill Polubelov: 16 Июнь 2021 - 17:11

(exit 0)

#9 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 16 Июнь 2021 - 17:22

В саппорте уже ждут сисинфо.

Там, кстати, ещё упоминают DLP SearchInform, на который тоже кто-то наступал.

Вариантов много.

 

Шифрование да, отключать не стоит, лучше причину устранить.


Семь раз отрежь – один раз проверь

#10 Lani4ok

Lani4ok

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 16 Июнь 2021 - 17:37

Наверно, тогда лучше обратиться в нашу службу техподдержки, потому что потребуется предоставить отчёт сисинфо с проблемной машины и, скорей всего и сервера. Для поиска этого софта.


Можно, конечно, отключить шифрование, но это такое себе решение.

А где его отключить? Я что-то рылся и так найти не смог. Я где-то читал совет, что отключить шифрование, поставить агента и потом включить шифрование.



#11 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 16 Июнь 2021 - 17:55

Я где-то читал совет, что отключить шифрование, поставить агента и потом включить шифрование.

Нет, тот совет про совсем другой частный случай.


Семь раз отрежь – один раз проверь



Also tagged with one or more of these keywords: агент

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых