# 协同OA被植入三方监控导致程序莫名停止

# 问题现象

用户最近机房停电，再重新启动之后，发现一个严重问题：OA能正常启动，启动过程中控制台正常，但启动完成几分钟后控制台会莫名被杀死。

控制台主动退出，会导致OA服务无法使用，根据历史经验，主动推动有多种可能性：

1、协同OA程序下的JVM与操作系统不兼容，导致主动崩溃。经过分析排查，当前环境下午JVM崩溃日志，故排除主动崩溃可能。

2、操作系统内存不足，主动杀掉进程。经过排查，当前环境操作系统内存充足，无主动杀掉进程的日志，故排除系统引起。

3、杀毒软件、内置到OA的三方Agent主动杀死了OA程序。

经过排查，发现当前操作系统下用了多个安全软件，并且OA还内置了rasp监控程序，重点排查此方向！

一、首先，当前操作系统下安装了360、安恒、深信服等多个安全、监控软件，可以先看拦截记录，如果没有拦截记录，也建议先卸载杀毒软件观察，注意是卸载不是停用，很多时候停用之后，杀软还是后台活动进程。

经过完全卸载以上服务后，问题依然存在，故还要继续分析。

杀软主动杀死进程，参考案例：

【启动问题】OA无法启动，启动窗口闪退 (opens new window)

二、然后，我们再观察OA的控制台，发现打印了大量非标准产品的日志，从日志输出看，都是与RASP引擎有关，这个应该是被三方给置入的监控程序：

客户网管反馈：开发同事和安全同事都反馈不是他们的RASP。

经过procexp64.exe工具分析，发现如下来自安恒的rasp可执行程序dll嫌疑最大：

客户方再次联系安恒技术，获得了如何卸载内置RASP的方法：

最后，项目组确认，经过卸载内置到OA中的RASP引擎后，问题已经解决，OA控制台不再主动退出：

如果遇到OA控制台莫名退出，除了怀疑JVM崩溃之外，还要重点怀疑杀毒软件、三方Agent监控程序，虽然听起来有点八竿子打不着，但这种案例非常非常多。

此项目，是客户网管对我们的信任，愿意听取我们的意见，主动把该卸载的都卸载了，最终问题得以解决。

很多时候客户不信任，不愿意相信三方有这样的影响，项目上可以将本篇分享给客户做参照。

编撰人：het