- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath SysScan-I系列漏洞扫描系统
故障处理手册
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本故障指导书主要介绍新华三漏洞扫描系统的一些常见问题的处理思路,主要针对漏扫的各类误报和服务器登录失败的问题,旨在给合作伙伴提供一个日常工作中常见的解决办法或思路,提高解
决问题效率。
· 更换和维护设备部件时,请佩戴防静电手腕,以确保您和设备的安全。
· 设备正常运行时,建议您在完成重要功能的配置后,及时保存当前配置,以便设备出现故障后能迅速恢复配置。
· 设备出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),搜集信息越全面、越详细,越有利于故障的快速定位。
¡ 记录具体的故障现象、故障时间、配置信息。
¡ 记录完整的网络拓扑,包括组网图、端口连接关系、故障位置。
¡ 记录现场采取的故障处理措施(比如配置操作、插拔线缆、手工重启设备)及实施后的现象效果。
¡ 记录故障处理过程中配置的所有命令行显示信息。
¡ 搜集设备日志信息。
¡ 记录抓取的报文信息、Debug开关打印信息、主控板与网板持续异常重启的串口输出信息。
¡ 记录设备故障时单板、电源、风扇指示灯的状态,或给现场设备拍照记录。
· 故障处理过程中,请注意:
¡ 明确每项配置操作的影响,保证操作出问题时能够被恢复,故障影响不会扩大。
¡ 操作执行后请等待一定时间以确认执行效果。
¡ 请不要保存故障处理过程中的配置。
设备出现故障时,请先搜集设备运行的相关信息,判断大致的故障类型,然后参照对应类型的故障处理流程进行确认。
如遇到故障无法确认,请将故障描述连同搜集的信息发送给公司技术支持人员分析。
图1-1为故障处理的一般流程,可以大致判断出故障的类型。
(1) 确认设备系统版本:
图1-2 系统版本确认
(2) 确认证书信息,确认证书是否过期,或者功能模块是否授权(非License相关问题可以跳过此步骤)
图1-3 授权信息确认
通过硬件指示灯、风扇、串口进入设备后台查看情况,优先定位或者排除表面的硬件故障。
查看引擎以及插件版本是否为最新,查看 http://www.h3c.com/上升级描述,是否已解决现有的故障现象。将引擎升级至最新(定制版请勿升级)后再观察故障现象。
结合用户拓扑以及实际业务需求进行配置检查,排除因错误配置导致的故障问题。
在常规检查步骤完成之后仍未解决的,或仍未位故障问题的,可拨打电话400-810-0504进行故障咨询,配合400技术人员进行远程检查。
具体指示灯的种类所对应的状态和含义如下表:
表2-1 设备指示灯对照表
(1) 串口无任何打印信息,设备指示灯异常,无法进行操作,若更换串口线仍然无法进行操作(排除串口线故障导致),则设备异常需要联系400同事协助返厂(结合实际情况判断)。
(2) 串口有打印信息,但是输入账号密码后无法应,可以重新启动设备,并参考如下回显信息对应的现象。
PS:标红部分为常见的CF卡故障回显
若确认为CF卡故障或者接触性故障,需联系400告知故障现象,与400沟通看是否需要将
设备寄回原厂进行加固或者更换配件处理。
注意:切记,不可在未接到新华三开箱授权的情况下,自行开箱进行处理。
(1) 新插板卡需要初始化配置才可正常使用,初始化前请将板卡上模块拔掉。
(2) 使用光纤自环测试是否正常。
(3) 若自环也不亮,可考虑更换光模块和跳线交叉测试,判断是否为模块或光纤问题。
(1) 确认板卡是否插紧,设备断电后再做拔插板卡的操作。
(2) 新插板卡需要初始化配置才可正常使用,初始化前请将板卡上模块拔掉。
(3) 确认是否按照正确顺序插入的网卡,顺序不对,接口不能正常up
含千兆光口板卡顺序为:电口-千兆光口-万兆光口;
不含千兆光口板卡顺序为:电口-万兆光口;
注意:中间不能都空卡槽,确保万兆光口在最后。
(4) 联系400,配合400进入后台查看接口是否存在,是否为WEB显示问题。
(1) 查看运行日志,确认是否接口因协商问题导致反复UP-DOWN,若是,则变更漏扫接口为自协商模式。
(2) 查看接口下是否存在错误包,若存在则拔插接口,替换跳线和模块交叉测试是否为物理问题。
(3) 若是光口,确认模块是否为FINISAR和武汉光迅的光模块,如果不是的话,则需要替换为支持的光模块。
(4) 结合上下连设备日志排查,确认是否对端设备接口变化导致漏扫接口UP-DOWN。
如果出现对主机存活判断出现疑问:
(1) 首先请判断网络环境(扫描路径中间是否有防护设备等);
(2) 使用系统常用工具ping测试目标机是否可达(或者扫描的时候抓包,查看抓包中目标ip的 回包情况做判断)
如果出现端口服务识别怀疑不准确的情况,请用常用工具nmap测试,用nmap获取的端口服务
结果和报表中的进行对比,一致则无问题,不一致再联系400协助查看。
图3-1 nmap使用方法
如果要指定端口探测请加-p参数,更多使用方法请参考‘问号’说明。
如果出现站点不存活,首先确认站点能否ping和curl通(常用工具)。无法ping则检查网络路由配置是否可达,DNS是否正确配置(站点禁ping则忽略此检查);能ping通但是不能curl通(同时curl其他站点,内网站点或者外网站点能通)则请客户自行检查网络环境配置问题。
图3-2 curl举例说明
curl结果中的响应码如果为404或者连接超时则为异常,请检查网络配置。
(1) 系统插件必须保持当前官网最新,以排除过往版本bug影响;
(2) 确认目标系统是否在微软官网声明的受影响范围内;
图4-1 微软漏洞误报排查流程
 |
或者命令wmic qfe|findstr [补丁号] 直接搜索KB补丁,上述补丁KB4012212举例 wmic qfe|findstr 4012212:
但是即使在能搜索到补丁,并且确认补丁更新后重启过,这种情况下也有可能出现补丁没生效的情况。如何确认微软MS补丁生效的方法如下:
例如MS17-010漏洞补丁更新后,正常情况下不仅能在系统中查询到KB补丁,并且srv.sys文件的版本和修改时间如下图:
而补丁虽然能在系统中搜索到,但是实际上srv.sys文件的版本是较老时间较早的:
因此和正常更新上补丁的设备比,可以判断为此设备补丁未生效,有可能是重启不成功等造成。
解决办法:重新更新对应补丁后重启,再去检查srv.sys文件的版本是否有更新上,版本更新上后则微软漏洞补丁更新成功。
首先查找对应MS漏洞在微软官网的说明,找到对应windows版本的知识库文章:
比如MS17-022,到微软官网查找此漏洞的安全公告: https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17- 022
从公告中点击进去汇总的知识库文章:
在知识库文章页面中查找到对应windows版本的更新文件知识库文章,比如windows 7:文件知识库文章分为两个,一个是纯安全质量更新,一个是安全质量月度汇总更新,此处我们需要查看的是纯安全质量更新。
在此windows 7的对应纯安全质量更新下,查看此更新需要安装的文件信息,再根据系统的位数来查看具体更新的文件信息:
比如查看64位的windows 7此漏洞主要更新的文件信息:
会看到更新的文件有很多,可以重点查找下srv.sys等文件(微软补丁大多数会对此文件更新,如果某个补丁没有更新此文件,那么按照此方法在更新文件列表中任意挑选一个去对比系统中的文件是否更新成功):
否
图5-1 微软漏洞漏报排查流程
(1) 系统插件必须保持当前官网最新,以排除过往版本bug影响。
(2) 必须采用smb登录:微软类漏洞除了原理扫描类,其余均为本地扫描(需远程登录目标 windows系统)漏洞,想要得到微软漏洞补丁更新信息,必须采用smb登录以及开启remote registry服务才能有权限远程获取。
(3) 目标机上必须开启remote registry服务。
图5-2 排查中所建议的拓扑图
(4) 开启方法:打开windows服务,在运行里面输入services.msc进入:
确认remote registry服务开启:
(5) 测试目标机配置以及网络无误校验方法:找一台和扫描器同网段的windows主机,去连接被 扫描目标机的远程注册表服务,确认能够连接成功并能获取到目标机的注册表信息(这一步 为了确认网络中没有限制且远程注册表服务无误)。
远程连接注册表方法:
a. 运行里面输入regedit进入注册表:
b. 选择文件—连接网络注册表:
c. 在检查对象名称中输入目标主机ip,在弹出的框中输入目标机账号密码登录查看其注册表:
d. 连接成功后即能看到目标机的注册表信息:
上述手动验证无误后,即可验证目标机配置和网络没问题,接着再使用扫描器登录扫描测试。如 果上述操作检查无误的情况下,扫描器依旧漏报,可联系400进行处理。
(1) 系统插件必须保持当前官网最新,以排除过往版本bug影响。
(2) 需要明确目标设备的openssh是开源版本还是厂商定制版:
a. 开源版本:由Openssh开源社区维护的一个免费版本,所有人都可以从对应openssh开源官网站点获取该软件,且并没有对其做二次修改。软件功能升级或者bug修复都是按照开源社区提供的版本进行。
b. 厂商定制版:某一些操作系统厂家(redhat、AIX、centos等)从openssh开源社区获取该软件并将其集成到自己的操作系统中,并做了二次修改。软件升级或者bug修复不在单独使用开源版本提供的单独升级包来解决,而是根据提供的补丁包随着操作系统版本变化来升级。
c. 开源版本openssh漏洞修复方法:官方通过升级包的方式在某个高版本中包含修复某个漏洞。如需修复漏洞,升级到某个特定版本即可。
d. 厂商定制版漏洞修复方法:打对应漏洞的修复补丁,但是修复补丁打完后,openssh大版本不会发生变化。但是可以openssh小版本来判断。
(3) openssh两种扫描原理介绍:
a. 版本扫描:如果目标机使用的开源版Openssh,因为开源版本openssh的漏洞都是通过升级版本修复,所以我们对开源版本openssh的扫描就进行版本扫描。即比对获取的目标机的openssh的版本是否在漏洞受影响范围之内,如果在,就报漏洞。反之则不存在漏洞。
b. 本地扫描:很多的厂商,比如redhat、suse等,这些厂商系统中带有openssh,openssh的漏洞不是像开源版本那样去升级openssh版本解决,而是由厂商自己打补丁包来修复,修复后不会改变openssh大版本,只会改变openssh的小版本,不同的厂商的补丁包都不一样,版本展示也会存在差异。我们把这种情况下的openssh称为厂商定制版。这种类型的openssh漏洞,因为不同厂商给的补丁不一样,打补丁后的openssh版本也不同,所以我们针对这种情况增加了linux本地扫描插件。如果客户是这种情况的话,需要对目标系统进行登录扫描,我们设备成功获取到客户是哪种操作系统和openssh具体的小版本信息,再和规则匹配看是否要报漏洞。
注意:因为权限问题,如果不登录或者无法登录,是获取不到小版本号的。
(4) 如何判断是否做了登录扫描且登录成功?
a. 下发任务是做了登录操作(登录验证成功)。
b. 查看主机报表信息是否有获取到操作系统的详细版本,获取到了openssh更详细的版本信息。
(5) 如何查看扫描器获取到的openssh版本信息
a. 获取主机报表。
b. openssh版本信息在主机报表中展示,如下图:
或者
(6) 如何判断openssh获取到的版本信息和目标机器实际版本一致。
a. 同网段找一台PC telnet目标机SSH端口,看baner回显中的版本信息是否和扫描器获取的版本一致。
b. 登录目标机本地查看。登录目标机查看的命令为:rpm –qa | grep openssh
注意:有可能出现telnet目标端口回显的banner信息和扫描器获取一致,但是和目标机地看到的版本信息不一致,这种可能是设备中存在两个版本的openssh,为了排查这种情况,建议不用的低版本openssh尽量删除。
支持
