如果防勒索客户端或备份、策略任务出现了异常,会导致云安全中心无法保护您的重要文件或数据。建议您及时排查异常情况,防止勒索软件攻击导致的数据丢失或加密。本文介绍为服务器创建勒索防护策略后,防勒索客户端和备份任务异常状态的原因排查及处理方式。
客户端异常
查看客户端异常状态原因
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在服务器防勒索或数据库防勒索页页签,单击策略名称前的
图标,可查看当前策略下的所有服务器信息。单击异常信息右侧的
图标,查看客户端异常状态原因。
根据错误详情对话框中的错误详情提示,处理客户端异常。
客户端异常的原因及解决方案
以下以操作均以服务器防勒索操作为例。
错误码:CLOUD_ASSIST_NOT_RUN
错误码:RoleNotExist
错误详情提示:授权问题。
产生异常的原因:账号权限不足。
解决方案:使用阿里云账号(主账号)或RAM用户(拥有AliyunRAMFullAccess权限)登录云安全中心控制台,在服务器防勒索页签,单击立即授权,为当前账号授AliyunServiceRoleForHbrEcsBackup和AliyunServiceRoleForSas角色。
错误码:CLIENT_CONNECTION_ERROR
错误码:ECS_ROLE_POLICY_NOT_EXIST
错误详情提示:ECS role没有AliyunECSAccessingHBRRolePolicy count:446。
产生异常的原因:ECS对应的RAM角色缺少AliyunECSAccessingHBRRolePolicy策略,导致客户端安装失败。
解决方案:解决权限策略问题后,重新安装防勒索客户端。操作步骤如下:
为ECS对应的RAM角色添加AliyunECSAccessingHBRRolePolicy策略。具体操作,请参见客户端安装失败,提示“EcsRamRole上缺少AliyunECSAccessingHBRRolePolicy的策略”错误。
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
重要为ECS添加RamRole后,不会自动触发重新安装防勒索客户端。
错误码:CHECK_ACTIVATION_COMMAND_TIMEOUT
错误详情提示:检查激活命令超时。
产生异常的原因:安装防勒索客户端超时。
解决方案:重新安装防勒索客户端。操作步骤如下:
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。
说明卸载完成后客户端状态显示为未安装。
在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:ECS_STOPPED
错误码:UNINSTALL_FAILED
错误码:INSTALL_FAILED
错误码:UPGRADE_FAILED
错误详情提示:升级失败。
产生异常的原因:升级客户端失败。
解决方案:重新安装防勒索客户端。操作步骤如下:
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。
说明卸载完成后客户端状态显示为未安装。
在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:AGENT_NOT_RUN_AFTER_INSTALLATION
错误详情提示:安装后服务未启动。
产生异常的原因:之前卸载客户端时存在卸载注册表残留未清理,导致新的客户端无法启动。
解决方案:清理注册表后,重新安装客户端。操作步骤如下:
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。
说明卸载完成后客户端状态显示为未安装。
根据防护策略的版本,清理以下两项注册表。
防护策略版本为V1.0时
#1代客户端 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\hybridbackup HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\hbrupdater防护策略版本为V2.0时
#二代客户端 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\hbrclient HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\hbrclientupdater HKEY_LOCAL_MACHINE\SOFTWARE\Alibaba, Inc.\Aliyun Hybrid Backup Service Client #64位特有 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B1F066FC-D85C-46F8-9ED7-88A4385AF9A6}}_is1 #32位特有 32位的系统删这个HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9A3FBAB2-A9B0-4F3B-951A-ABC72D58BA6D}}_is1
在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:FAILED_TO_DOWNLOAD_INSTALLER
错误码:PRECHECK_COMMAND_FAILED
错误详情提示:预检命令失败。
产生异常的原因:云助手命令超时。
解决方案:重新安装防勒索客户端。操作步骤如下:
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。
说明卸载完成后客户端状态显示为未安装。
在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:INSTALL_COMMAND_TIMEOUT
错误详情提示:安装命令超时。
产生异常的原因:客户端安装命令超时,导致客户端安装失败。
解决方案:重新安装防勒索客户端。操作步骤如下:
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。
说明卸载完成后客户端状态显示为未安装。
在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:ServiceUnavailable
错误详情提示:ServiceUnavailable。
产生异常的原因:授权问题或者超过QPS限制。
解决方案:
使用阿里云账号(主账号)登录云安全中心控制台,在服务器防勒索页签,单击立即授权,为当前账号授AliyunServiceRoleForHbrEcsBackup和AliyunServiceRoleForSas角色。
错误码:CONFLICT_WITH_EXISTING_AGENT
错误详情提示:跟已有客户端冲突。
产生异常的原因:与该服务器上已安装的客户端冲突。
解决方案:重新安装防勒索客户端。操作步骤如下:
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。
说明卸载完成后客户端状态显示为未安装。
在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:ACTIVATE_COMMAND_FAILED
错误详情提示:客户端出现异常错误,您可以重新安装客户端,恢复业务正常运行。
产生异常的原因:客户端异常。
解决方案:重新安装防勒索客户端。操作步骤如下:
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。
说明卸载完成后客户端状态显示为未安装。
在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:CHECK_RUNNING_COMMAND_FAILED
错误详情提示:检查服务启动命令失败。
产生异常的原因:服务异常。
解决方案:重新安装防勒索客户端。操作步骤如下:
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。
说明卸载完成后客户端状态显示为未安装。
在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:INSTALL_COMMAND_FAILED
错误详情提示:执行安装命令失败。
产生异常的原因:防勒索客户端的安装被服务器上安装的安全软件拦截。
解决方案:
卸载服务器中安装的安全软件。
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:InstanceHasBeenProtectedByAir
错误详情提示:客户端出现异常错误,需重新安装客户端。
产生异常的原因:云备份服务与云安全中心的防勒索服务之间存在备份冲突。
解决方案:请检查是否已启用云备份服务。如果已启用,需注意云备份服务与云安全中心防勒索服务不兼容,因此无法完成安装。这两者均具有数据备份功能,建议您选择其中一项服务进行数据备份。
关于安装和卸载防勒索客户端的具体操作,请参见创建防护策略及客户端。
关于开通和卸载云备份客户端的具体操作,请参见开通云备份、如何卸载云备份客户端。
备份任务异常排查
查看备份异常状态原因
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在防勒索页面右上角,单击备份任务列表。
在备份任务列表面板,选择服务器备份任务或数据库备份任务页签,在搜索中添加筛选条件状态为备份失败,单击
图标。单击目标备份任务状态列的
图标,查看备份任务失败的原因。 根据错误详情对话框中的提示信息,参考下文处理备份任务异常问题。
备份异常的原因及解决方案
服务器防勒索
错误码:EXPIRED
错误详情提示:备份超时。
产生异常的原因:
服务器网络问题。
备份客户端在执行任务时服务器重启导致备份任务停止。
云服务器ECS已停止运行。
备份文件过多导致超时。
客户端版本低,需要升级。
解决方案:
网络问题排查建议:检查备份日志中是否有
MQTT Connection Lost.信息,优化服务器网络配置。ECS离线问题排查建议:检查ECS是否在线或者在备份时间段是否有重启任务等。
备份文件过多处理建议:修改备份策略,排除一些不需要备份的文件目录。
错误码:SOURCE_NOT_EXIST
错误详情提示:备份源路径不存在。
产生异常的原因:防护策略中指定的备份目录不存在。
解决方案:在防护策略中重新设置备份目录。
错误码:OPEN_VAULT_FAILED
错误详情提示:打开备份库失败。
产生异常的原因:
备份时访问OSS失败,建议检查网络配置。
服务器中的本地时间与OSS服务时间相差过大。
解决方案:
在云服务器ECS的hbrclient.log日志中,找到OSS的接入点,接入点的格式为
oss-xxx.aliyuncs.com或者oss-xxx-internal.aliyuncs.com。在云服务器ECS上使用ping或telnet命令检查是否连通OSS接入点的网络。检查防火墙以及安全组是否已放行防勒索客户端的网络请求。
检查是否被安全软件阻止建立网络连接。
如客户端备份日志中出现
ErrorCode=RequestTime TooSkewed, ErrorMessage="The difference between the request time and the current time is too large."字样,请检查服务器中的本地时间,如与OSS服务时间(即ECS服务器所在地域的时区时间,例如:中国内地为北京时间,海外地域为海外所在地域的时区时间)相差15分钟以上,需要修改服务器时间为OSS服务时间,并在服务器中执行以下命令重新启动防勒索客户端。systemctl restart hbrclient
错误码:INTERNAL_ERROR / InternalError
错误详情提示:内部错误。
产生异常的原因:防勒索客户端备份内部错误,通常为1.0版本客户端防护策略内部问题。
解决方案:在防勒索页面,找到1.0版本防护策略,单击防护策略操作列的升级,将1.0版本的防护策略升级为2.0。
错误码:killed
错误详情提示:备份进程被系统关闭。
产生异常的原因:一般是CPU或者内存使用过高,导致系统强制关闭进程,使备份失败。
解决方案:登录ECS管理控制台,在ECS实例详情的监控页签,查看备份时间段CPU和内存使用情况。如果备份进程占用过多资源,您可以限制客户端备份占用的资源。具体操作,请参见如何解决备份客户端OOM问题。
错误码:CreateSnapshotFailed
错误详情提示:备份结束时创建备份快照失败。
产生异常的原因:备份快结束时创建备份快照失败,一般是备份过程中访问OSS正常,备份结束时访问OSS异常。
解决方案:可登录OSS检查配置无误后,重新执行备份操作。
错误码:CONNECT_TO_VAULT_FAILED
错误详情提示:连接备份库失败。
产生异常的原因:备份时访问OSS失败。
解决方案:您需要检查网络配置问题。在云服务器ECS的hbrclient.log日志中,找到OSS的接入点,接入点的格式为
oss-xxx-internal.aliyuncs.com。在云服务器ECS上使用ping或telnet命令检查是否连通OSS接入点的网络。
错误码:AppError: ErrorCode=TooManyConcurrentJobs, ErrorMessage=TooManyConcurrentJobs
错误详情提示:当前该机器有较多备份任务仍在运行,无法启动新的备份任务。
产生异常的原因:一般是因为备份数据量大,或者备份速度较慢导致之前的备份任务未运行结束时,后续备份任务就已开启。
解决方案:依次尝试以下方法,观察是否能解决问题:
增加备份时间间隔,或者在配置防护策略时排除不必要的目录和文件。
在确认无历史备份数据或者不需要历史备份数据时,删除防护策略下的服务器。具体操作,请参见管理防护策略中的服务器。
重新在防护策略下添加该服务器。在修改防护策略时,选择该服务器。具体操作,请参见修改防护策略。
错误码:EcsStopped
错误详情提示:ECS停机。
产生异常的原因:ECS已停机。
解决方案:建议检查ECS状态,确认ECS是否因欠费停机。
错误码:EcsReleased
错误详情提示:ECS已释放。
产生异常的原因:ECS已被释放。
解决方案:建议检查ECS状态,确认ECS是否释放。
错误码:ClientDisconnectedAegisClientNotOnline
错误详情提示:云安全中心Agent客户端不在线,防勒索客户端不在线。
产生异常的原因:云安全中心Agent客户端和防勒索客户端均不在线。
解决方案:检查防勒索客户端的网络通信状态,在ECS服务器上使用
ping或telnet命令检查与防勒索网络接入点的网络是否连通,并检查是否配置了防火墙策略。关于防勒索网络接入点的更多信息,请参见网络接入点。
错误码:ClientDisconnected
错误码:OOM
错误详情提示:内存使用过高。
产生异常的原因:备份目录下文件数据量过大会导致内存使用过高,超过一定范围会被系统强制关闭备份进程,导致备份失败。
解决方案:具体内容,请参见OOM问题解决方案。
错误码:JOB_CANCELED
错误详情提示:备份中的任务主动关闭。
产生异常的原因:备份任务因策略停用或防勒索容量用尽主动关闭。
解决方案:请确认防勒索策略是否停用。如果不是,请检查防勒索备份已使用容量是否超出总容量。您可以在防勒索页面查看已使用容量和总容量。
错误码:FILE_CACHE_NO_SPACE
错误详情提示:文件缓存空间不足。
产生异常的原因:文件缓存所在磁盘的剩余空间不足(默认值为1 GB)。
解决方案:磁盘扩容或更改文件缓存路径,请参见如何使用数据缓存加速文件备份?。
错误码:ApplicationFileNotExist
错误详情提示:客户端文件缺失。
产生异常的原因:由于被第三方安全软件或用户误删等原因,导致防勒索客户端文件缺失。
解决方案:将防勒索客户端加入安全软件白名单,重新安装防勒索客户端。
错误码:0xC0000142 / 3221225794
错误详情提示:Windows系统备份进程无法正确初始化。
产生异常的原因:
安全软件限制。
程序冲突。
防勒索客户端文件缺失。
解决方案:将防勒索客户端加入安全软件白名单,重新安装防勒索客户端。
错误码:1 / 2
错误详情提示:备份进程异常退出(所有未处理或未记录的IDS备份进程的异常退出都会以错误码1或2上报)。
产生异常的原因:V1.0版本防勒索客户端中未处理或未记录的错误。
解决方案:安装V2.0版本的防勒索客户端。操作步骤如下:
登录云安全中心控制台,在服务器防勒索页签,单击目标服务器操作列的卸载,卸载服务器上的防勒索客户端。
说明卸载完成后客户端状态显示为未安装。
在服务器防勒索页签,单击目标服务器操作列的安装,重新安装防勒索客户端。
错误码:RequestTimeTooSkewed
错误详情提示:时间有偏差。
产生异常的原因:服务器系统时间与云安全中心服务端时间偏差过大。
解决方案:服务器系统时间与云安全中心服务端时间偏差过大(通常为15分钟及以上)。您可以手动校准服务器系统时间解决该问题。
错误码:ecsbackupsirnotexist
错误码:TARGET_NOT_EXIST
错误详情提示:恢复目录地址不存在。
产生异常的原因:服务器目录被误删,或目录配置错误。
解决方案:
登录服务器上并检查目录是否存在。
重新配置恢复目录,具体操作请参见创建恢复任务。
数据库防勒索
错误码:CLIENT_CONNECTION_ERROR
错误详情提示:备份失败。
产生异常的原因:数据库防勒索客户端离线导致的备份失败。
解决方案:
方法一:重启数据库防勒索的客户端。
说明必须先关闭自保护功能,然后按照下述步骤重启客户端。
Linux:执行命令
systemctl restart dbackup3-agent。Windows:
界面操作:进入服务页面,右键
Dbackup3 Agent,单击重新启动。执行命令:停止
net stop "dbackup3 agent",重启net start "dbackup3 agent"。
方法二:重装数据库防勒索的客户端。
在云安全中心控制台执行数据库防勒索客户端的重装操作。具体操作,请参见管理防护策略及客户端。
策略状态异常排查
查看防勒索策略状态异常原因
登录云安全中心控制台。在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在服务器防勒索或数据库防勒索页签下的防护策略列表中,查看策略状态异常的原因。
策略状态说明及解决方案
策略状态 | 说明 | 解决方案 |
账号密码错误 | 数据库账号密码错误 | 请填写正确的数据库账号、密码后,重新开启策略。 |
初始化中 | 环境初始化中 | 请耐心等待策略初始化完成。 |
初始化失败 | 初始化失败 | |
启用中 | 策略正在启用中 | 请耐心等待策略完成启用。 |
已启用 | 策略已成功启用 | 无 |
已停用 | 策略已停用 | 无 |
停用中 | 正在停用策略中 | 请您耐心等待策略完成停用。 |
超量被自动关闭 | 防勒索容量空间已满 | 请手动清理历史数据释放空间或进行续费扩容。具体操作,请参见已购买的防勒索数据保护容量不够用怎么办?。 |
正在删除 | 策略删除中 | 请耐心等待策略完成删除。 |
删除失败 | 策略删除失败 | 请稍后重新尝试删除策略。删除策略的具体操作,请参见删除策略。 |
恢复中 | 数据恢复中 | 请耐心等待数据恢复任务完成。 |
备份中 | 数据备份中 | 请耐心等待备份数据任务完成。 |
联系我们
如果以上方法都无法解决,请收集客户端日志信息以便排查。
客户端安装日志:
Windows服务器:
C:\Program Files (x86)\Alibaba\Aegis\PythonLoader\data\hbr.logLinux服务器:
/usr/local/aegis/PythonLoader/data/hbr.log
客户端备份日志:
防护策略版本为V1.0时
Windows服务器:
C:\Program File (x86)\Alibaba\Aegis\hbr\logsLinux服务器:
/usr/local/aegis/hbr/logs
防护策略版本为V2.0时
Windows服务器:
C:\Program File (x86)\Alibaba\Aegis\hbrClient\logsCoreOS服务器:
/opt/aegis/hbrClient/logsLinux服务器:
/usr/local/aegis/hbrClient/logs