Categories: 04 - System Administration04d - IFS

IBM i – Attenzione agli “share” (IFS e Ransomware)

No… non stiamo parlando degli “share” di Auditel (o i Nielsen ratings per gli USA), ma delle directory IFS condivise … potrebbero venire infettate da virus che arrivano dal mondo dei PC e Server di altri sistemi operativi e, addirittura, causare problemi anche al nostro solido IBM i.

Veniamo al caso specifico: un mio cliente mi chiama al telefono preoccupato perché, dopo aver passato il weekend a cercare di arginare un maledetto virus ransomware circolato in azienda, alcune funzionalità di IBM i non funzionano più. Accidenti, come se di virus non ne avessimo già abbastanza in questo periodo!

Mi collego, vedo che le funzioni HTTPGETCLOB, HTTPOSTCLOB ampiamente utilizzate per interfacciarsi ai Web Service dal mondo IBM i, tornano strani errori e il Joblog riporta messaggi di errore durante la chiamata di alcune funzioni Java dalla SYSTOOLS.

Andando più a fondo scopro che neanche Java funziona … arrivo finalmente alla cartelle incriminata “/QIBM/ProdData/OS400/PASE/bin/java” che contiene un numero importate di file con estensione .laChiffre.

  • Attimi di panico!
  • Il virus (ransomware) è arrivato fino a quella cartella /QIBM/…
    • Ma l’IBM i (anzi, l’AS400 … quanto sei arrabbiato torna ad essere l’AS400 e non l’IBM i … è come quando i figli fanno qualcosa che non devono … sono sempre “i tuoi figli” se ti rivolgi a tua moglie!) non può essere attaccato dai virus.
    • “Non te lo aspettavi eh, e invece, eccolo qua” … avrebbe cantato Vasco Rossi, ma in quel momento cantare era l’ultima cosa che mi veniva in mente.
    • Il maledetto era arrivato fino lì e attaccando le cartelle del JAVA bloccava tutto ciò che si basa proprio su quello, come le funzioni HTTP di SQL e altre cose simpatiche.

Un virus può fare danni anche all’IBM i?

(Le ultime parole famose…)
No, tranquillo!
L’AS400 non è attaccabile da virus !


Andando a fondo troviamo che sull’IBM i sono condivise in lettura e scrittura delle directory IFS, e in particolare, una directory /QIBM che nessuno si ricorda di aver mai condiviso ne utilizzato. Controllo sugli IBM i di qualche altro cliente e trovo due cartelle condivise ovunque, in alcuni casi sono in lettura e in altri anche in lettura/scrittura. Accidenti, deve essere qualche vecchio default di IBM i o qualcuno ha volontariamente attivato anche la scrittura per qualche ragione nel passato … ma è una situazione abbastanza diffusa (almeno tra i miei clienti).

Le due cartelle incriminate sono:

  • /QIBM/ProdData/OS400/DirSrv
  • /QIBM

La prima è una condivisione per delle funzioni tipo LDAP per IBM i se gestite da tools lato PC … nel 90% dei casi inutile

La seconda, la /QIBM, molto più pericolosa probabilmente è una vecchia reminiscenza del passato , credo personalmente di non averla mai utilizzata, ma è lì condivisa e attaccabile dai maledetti virus e ransomware.

Fortunatamente dal cliente c’erano tutti i backup e le directory incriminate sono state ripristinate dal backup.

In questo caso, per il ransomware “la Chiffre” è stato anche abbastanza semplice perché il maledetto rinomina tutti i file che attacca con estensione “.laChiffre”, quindi da Qshell

find / -name 'laChiffre' -print

Index

Il consiglio:

Vi invito a controllare o far controllare dal vostro sistemista le condivisioni dell’IFS e fare una bella pulizia e, già che ci siete, fate anche una verifica sul salvataggio dell’IFS stesso, spesso dimenticato nelle procedure di backup.

Esistono anche delle soluzioni antivirus e antimalware per IBM i, potrebbe valer la pena prendere qualche informazione in merito.

Nell’immagine qui sotto la /QIBM risulta condivisa in sola lettura … che può andare bene, la DirSrv è invece in lettura/scrittura … se non serve meglio terminare la condivisione … poi ci sono altre directory, quelle delle PTF o delle immagini del sistema operativo … anche queste sarebbe meglio terminarle o metterle solo in lettura e abilitarle quando serve!

Related Posts
DB2 for i SQL – Stringhe – POSSTR-LOCATE-LOCATE_IN_STRING (IT)

Introduzione Spesso, nelle nostre applicazioni, abbiamo la necessità di lavorare con le stringhe di testo e l'SQL del DB2 può Read more

DB2 for i & SQL – FAQ & Howto (Part. 1) (IT)

Database DB2 e SQL ... forse lo strumento più potente e completo che abbiamo sulla piattaforma IBM i: ecco una Read more

Annuncio IBM i 7.4

Arriva direttamente con l'uovo di Pasqua questo annuncio IBM per le novità della versione IBM i 7.4, versione iNext secondo Read more

Generated Always Columns – Approfondimenti (IT)

Introduzione "Generated Always Column": sono colonne, campi, di una tabella il cui contenuto è controllato direttamente dal sistema ... e Read more

--- Roberto De Pedrini Faq400.com
6 anni ago

View Comments

Leave a Comment

Related Post

Recent Posts

VsCode Extension: Bob Cozzi’s RPG IV to RPG Free Conversion

L’estensione “RPG IV to Free Format Conversion” sviluppata da Bob Cozzi (Cozzi Research) è pensata per semplificare la conversione di…

5 mesi ago

IBM i & SQL Tips #010 – Localizzare programmi nella Call Stack con STACK_INFO

Ciao a tutti, oggi voglio segnalarvi un altro interessante contributo di Massimo Duca, parte della sua ormai nota serie IBM…

5 mesi ago

Display file DDS Edit per VsCode, nuova preview.

Incuriosito da alcuni messaggi di Cristian Larsen su Linkedin (New Release - Display File DDS Edit v.0.10.1) ho voluto scaricare…

6 mesi ago

Project Bob: il nuovo strumento AI di IBM per sviluppo COBOL su IBM Z e RPG su IBM i

Ciao a tutti,oggi voglio segnalarvi un annuncio che potrebbe segnare una svolta per lo sviluppo applicativo su ambienti IBM: Project…

6 mesi ago

IBM i & SQL Tips #6: chiamare API REST e analizzare le risposte JSON con SQL

Voglio segnalarvi un nuovo articolo molto interessante di Massimo Duca nella serie IBM i & SQL Tips. In questo sesto…

6 mesi ago

Come funziona il passaggio di parametri a un programma IBM i (RPG / Cobol)

Ciao a tutti, voglio segnalarvi un post molto utile di Marco Riva sul suo sito Markonetools, in cui spiega in…

6 mesi ago