IBM i – Attenzione agli “share” (IFS e Ransomware)

No… non stiamo parlando degli “share” di Auditel (o i Nielsen ratings per gli USA), ma delle directory IFS condivise … potrebbero venire infettate da virus che arrivano dal mondo dei PC e Server di altri sistemi operativi e, addirittura, causare problemi anche al nostro solido IBM i.

Veniamo al caso specifico: un mio cliente mi chiama al telefono preoccupato perché, dopo aver passato il weekend a cercare di arginare un maledetto virus ransomware circolato in azienda, alcune funzionalità di IBM i non funzionano più. Accidenti, come se di virus non ne avessimo già abbastanza in questo periodo!

Mi collego, vedo che le funzioni HTTPGETCLOB, HTTPOSTCLOB ampiamente utilizzate per interfacciarsi ai Web Service dal mondo IBM i, tornano strani errori e il Joblog riporta messaggi di errore durante la chiamata di alcune funzioni Java dalla SYSTOOLS.

Andando più a fondo scopro che neanche Java funziona … arrivo finalmente alla cartelle incriminata “/QIBM/ProdData/OS400/PASE/bin/java” che contiene un numero importate di file con estensione .laChiffre.

  • Attimi di panico!
  • Il virus (ransomware) è arrivato fino a quella cartella /QIBM/…
    • Ma l’IBM i (anzi, l’AS400 … quanto sei arrabbiato torna ad essere l’AS400 e non l’IBM i … è come quando i figli fanno qualcosa che non devono … sono sempre “i tuoi figli” se ti rivolgi a tua moglie!) non può essere attaccato dai virus.
    • “Non te lo aspettavi eh, e invece, eccolo qua” … avrebbe cantato Vasco Rossi, ma in quel momento cantare era l’ultima cosa che mi veniva in mente.
    • Il maledetto era arrivato fino lì e attaccando le cartelle del JAVA bloccava tutto ciò che si basa proprio su quello, come le funzioni HTTP di SQL e altre cose simpatiche.

Un virus può fare danni anche all’IBM i?

(Le ultime parole famose…)
No, tranquillo!
L’AS400 non è attaccabile da virus !


Andando a fondo troviamo che sull’IBM i sono condivise in lettura e scrittura delle directory IFS, e in particolare, una directory /QIBM che nessuno si ricorda di aver mai condiviso ne utilizzato. Controllo sugli IBM i di qualche altro cliente e trovo due cartelle condivise ovunque, in alcuni casi sono in lettura e in altri anche in lettura/scrittura. Accidenti, deve essere qualche vecchio default di IBM i o qualcuno ha volontariamente attivato anche la scrittura per qualche ragione nel passato … ma è una situazione abbastanza diffusa (almeno tra i miei clienti).

Le due cartelle incriminate sono:

  • /QIBM/ProdData/OS400/DirSrv
  • /QIBM

La prima è una condivisione per delle funzioni tipo LDAP per IBM i se gestite da tools lato PC … nel 90% dei casi inutile

La seconda, la /QIBM, molto più pericolosa probabilmente è una vecchia reminiscenza del passato , credo personalmente di non averla mai utilizzata, ma è lì condivisa e attaccabile dai maledetti virus e ransomware.

Fortunatamente dal cliente c’erano tutti i backup e le directory incriminate sono state ripristinate dal backup.

In questo caso, per il ransomware “la Chiffre” è stato anche abbastanza semplice perché il maledetto rinomina tutti i file che attacca con estensione “.laChiffre”, quindi da Qshell

find / -name 'laChiffre' -print

Index

Il consiglio:

Vi invito a controllare o far controllare dal vostro sistemista le condivisioni dell’IFS e fare una bella pulizia e, già che ci siete, fate anche una verifica sul salvataggio dell’IFS stesso, spesso dimenticato nelle procedure di backup.

Esistono anche delle soluzioni antivirus e antimalware per IBM i, potrebbe valer la pena prendere qualche informazione in merito.

Nell’immagine qui sotto la /QIBM risulta condivisa in sola lettura … che può andare bene, la DirSrv è invece in lettura/scrittura … se non serve meglio terminare la condivisione … poi ci sono altre directory, quelle delle PTF o delle immagini del sistema operativo … anche queste sarebbe meglio terminarle o metterle solo in lettura e abilitarle quando serve!

Related Posts
DB2 for i SQL – Stringhe – POSSTR-LOCATE-LOCATE_IN_STRING (IT)

Introduzione Spesso, nelle nostre applicazioni, abbiamo la necessità di lavorare con le stringhe di testo e l'SQL del DB2 può Read more

DB2 for i & SQL – FAQ & Howto (Part. 1) (IT)

Database DB2 e SQL ... forse lo strumento più potente e completo che abbiamo sulla piattaforma IBM i: ecco una Read more

Annuncio IBM i 7.4

Arriva direttamente con l'uovo di Pasqua questo annuncio IBM per le novità della versione IBM i 7.4, versione iNext secondo Read more

Generated Always Columns – Approfondimenti (IT)

Introduzione "Generated Always Column": sono colonne, campi, di una tabella il cui contenuto è controllato direttamente dal sistema ... e Read more

--- Roberto De Pedrini Faq400.com

View Comments

Recent Posts

Gestione dei file video bloccati su IBM i: una soluzione efficace

Riceviamo e pubblichiamo ben volentieri questo "tip & trick" di Patrick Rizzi che presenta una tecnica che permette di intervenire…

2 mesi ago

Monitoraggio Messaggi QSYSOPR: SQL per Ottenere Messaggi e Reply

Prendo spunto da una risposta di Michael Mayer sulle mailing list di Midrange.com a chi chiedeva come monitorare i messaggi…

2 mesi ago

Perché l’ERP è la Chiave del Successo per le Imprese Moderne

Le imprese sono sempre più alla ricerca di strumenti che possano migliorare l'efficienza, la collaborazione e la gestione delle risorse.…

4 mesi ago

ACS Access Client Solution 1.1.9.5

I primi di Aprile è uscita la "Spring Version" di ACS Access Client Solution, versione 1.1.9.5 Interessanti novità soprattutto in…

8 mesi ago

Tim Rowe and Scott Forstie – Promo video for CEC 2024 – Milan

Se non vi bastava la ricca agenda delle sessioni del Common Europe Congress 2024, 3-6 Giugno Milano, ecco un altro…

8 mesi ago

Code for IBM i 2.10.0 – Debug IBM i con Visual Studio Code

Le funzioni di debug con Visual Studio Code sono disponibili da qualche tempo ma questa nuova versione 2.10.0 semplifica la…

8 mesi ago