国家 / 地区

H3C SecPath WG系列网页防篡改系统 故障处理手册(E6201)-5W100

手册下载

H3C SecPath WG系列网页防篡改

故障处理手册

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2019技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 运行环境

1.1  管理中心

1、管理中心只支持在windows系统上安装使用,建议在干净的系统环境下安装管控中心;

2、管理中心适用系统:windows server 2003/2008 32/64位,Windows xp 32/64位、Windows 7 32/64位、Windows server 2012 64位、Windows sever 2016 64位;

3Windows系统硬件配置:内存:不低于512MCPU:不低于I3

1.2  防护端

1Windows防篡改端不支持在Windows server 2003 64位系统上安装。支持在Windows server 2003 32位、Windows server 2008 32/64位、Windows server 2012Windows Server 2016系统上安装;

2Linux防篡改端支持在Debian/Ubuntun/CentOS/Redhat等主流Linux系统的32位及其64位系统安装。

注意

H3C管控中心安装环境推荐是干净的服务器环境,服务器的防护软件或其他软件程序等都有可能导致管控中心无法正常安装。例如:360,安全狗,金山毒霸,腾讯管家等

Secpath安装过程中会自动安装VC++2008环境、PostgreSQL数据库

操作系统需要支持PostgreSQL数据库的正常安装,如果安装过PostgreSQL会引起冲突,建议更换安装环境

 

2 故障排查

2.1  管理中心无法探测到服务器端

解决思路:

Linux

iptables  -I  INPUT  -j  ACCEPT 编辑防火墙策略,允许流量通过。

或者放行需要用到的特定端口

iptables -I INPUT -p tcp --dport 1800 -j ACCEPT

iptables -I INPUT -p tcp --dport 1081 -j ACCEPT

图2-1 放行特定端口

 

2.2  客户端上修改管理中心IP

2.2.1  Window系统

Window防篡改客户端:到安装客户端的目录->点击waf_config.exe

图2-2 Windows系统修改防护端上管理中心IP

 

修改完需要重启客户端进程,以管理员权限在cmd界面分别执行net stop wkasnet start wkas

图2-3 重启进程

 

2.2.2  Linux系统

防护程序更改, /etc/init.d/webkeeper config  <new_ip>

如:/etc/init.d/webkeeper config 192.168.1.199

图2-4 Linux系统修改防护端上管理中心IP

修改完需要重启客户端进程

/etc/init.d/webkeeper restart

图2-5 Linux重启客户端进程

2.3  linux上查看防护端端配置信息

1)配置文件在 /etc/webkeeper

2) 从管理中心获取的配置在 /var/webkeeer/shm_conf

3)查看文件同步日志  tail -f /var/log/webkeeper_sync.log

图2-6 Linux查看防护端配置信息

 

图2-7 查看文件同步日志

 

2.4  快速停用/卸载防护端程序

2.4.1  Linux系统

/etc/init.d/webkeeper start|stop|restart  开启/停止/重启防护进程;

图2-8 快速停启客户端

 

程序卸载:

/etc/init.d/webkeeper uninstall     防护端卸载;

图2-9 防护端卸载

 

linux:防护插件卸载密码:wkspace

2.4.2  Windows系统:

net stop/start wkas 停止/启动防护程序;

图2-10 Windows停止/启动防护程序;

 

net stop/start wkad 强制停止/启动驱动防护程序;

重新开启wkad之后,需要重启wkas,防护才生效;

程序卸载:

在管理中心所在系统,开始-所有程序-SecPathWG-IM310-E6201-卸载SecPathWG-IM310-E6201

卸载密码:wkasspace

 

2.5  软件版管理中心,篡改发生时,在管理中心没有防篡改日志产生

解决思路:

(1)     防火墙影响,放开管理中心514端口(如关闭或修改防火墙策略),在开始-所有程序-控制面版,或者例外具体端口皆可;

图2-11 放开管理中心防火墙限制

 

(2)     尝试重启客户端,重新触发日志,在管理中心上看日志是否正常产生,重启客户端操作参见3.4

2.6  登录界面显示License未授权,无法正常登录

解决思路:

(1)     数据库出错,右键我的电脑-管理-服务那里把postgres重启服务即可恢复正常;

图2-12 重启postgres服务

(2)     基于情况1如果重启postgres服务无法正常重启。此块问题如果卸载重装后仍然无效的话,有一种可能是是因为默然安装在C盘,而C盘的某些服务影响到了数据库的服务,此时重装在其他路径,如D盘,一般可解决此问题。如下图报错可参考此解决方法

图2-13 无法正常启动postgres服务

((PS(O24@PJHK[T)Q6G[ENO

 

(3)     可能装管理中心的服务器上有杀毒软件影响,可尝试在排除杀毒软件影响的前提下,重新卸载安装,或在杀毒软件上将防护端进程加入白名单。

2.7  管理中心、防篡改端卸载不干净,重新安装时提示已安装

(1)     开始程序运行regedit

图2-14 运行regedit

 

(2)     在如下截图目录下删除KepperMgr(对应管理中心)、wkas对应(防篡改端-windows)注册表,删除完重新安装即可。

图2-15 删除对应注册表

 

2.8  Windows 防护端在server2008R2上安装后,无法探测,重装也没用

排查思路:

(1)     确认Server2008R2是否装了SP1安全补丁。如没有需要依次安装以下①②提到的补丁;

(2)     如打了SP1补丁,确认有无打39029补丁,如无打上39029补丁即可。

解决方法:

windows防护端因为替换了代码签名,对winserver2008R2系统有要求,windows Server 2008 R2版本没有打相应微软要求的安全补丁会导致安装驱动提示错误。

①补丁SP1https://www.microsoft.com/zh-cn/download/details.aspx?id=5842

②补丁39029

32位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x86.zip

64位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x64.zip

注意

先要求打了SP1的安全补丁,再要求打39029补丁,如果系统本身已经是SP1版本的情况下,直接打39029补丁即可。

 

2.9   linux防篡改卸载不干净,提示libwrapperio.so未找到

Linux防篡改卸载的时候,提示rm :error while loading share libraries : libwrapperio.so: cannot open shared object file :No such file or directory,或者提示总线(bus)错误。

重启机器后,无法进入图形化界面,ssh连接不了,提示:error while loading share libraries : libwrapperio.so

此问题多由于系统缺少sed命令,导致4个系统配置文件里的内容没卸载干净。但实际上lib库已经删除了,所以导致重启出现问题。

解决办法:

如能正常操作,在命令行下正常操作即可。如不能正常操作,进单用户模式下再行操作,修改下列4个文件:

删除掉export LD_PRELOAD=/usr/local/lib/libwrapperio.so那一行(一般在最后一行),profilebashrc文件中数据应该在最后一行,删除完后重启服务器即可解决问题。若提示由于libwrapperio.so无法找到而无法使用vi命令,则输入下命令,:export LD_PRELOAD=,就可以操作系统命令。

(1)     vi /etc/profile

图2-16 删除相关信息

(2)     vi /etc/environment

图2-17 删除相关信息信息

(3)     vi /root/.bashrc

图2-18 删除相关信息

 

(4)     vi /etc/bashrc

 

注意

如果在卸载程序的时候提示缺少libwrapperio.so时候,请务必检查这4个文件中是否含有该信息,若有请删除,以免影响系统正常启动。

在手动卸载后提示上述类似信息时,不要手动重启。可先执行export LD_PRELOAD=。然后按以上描述删除4个系统配置文件里的export LD_PRELOAD=/usr/local/lib/libwrapperio.so相关信息后,重启服务器即可

 

2.10  在管理中心选择不启用某个防护程序,但是防护依然在起作用,或者是卸载管理中心后,防护程序仍起作用不能篡改

解决方法:

(1)     Linux系统

这种情况产生的原因主要是因为管理中心向防护端下发新的配置时,可能发生失败。可以通过执行 rm -f /var/webkeeper/shm_config 强行终止防护。接着马上重启防护程序(/etc/init.d/webkeeper restart),让防护端主动获取新的配置。

 一般排除了其他因素的影响,Linux防篡改客户端仍然起到防护的时候,都是因为残留的配置文件shm_config的影响,执行 rm -f /var/webkeeper/shm_config可解决。如想重新恢复防护,重新再管理中心上下发配置(就是在web界面上再重新配置一条防护策略)即可。

图2-19 Linux排除防护影响

 

(2)     Windows系统

针对Windows系统,除了上面提到的情况,可能还会出现在cmd命令行界面,手动net stop wkas,也无法停止防护的情况,这时候只要在cmd命令行界面手动执行net stop wkad即可停止防护。如后续想正常恢复防护,手动再启动wkad,重新下发一遍配置即可。

图2-20 Windows排除防护影响