No… non stiamo parlando degli “share” di Auditel (o i Nielsen ratings per gli USA), ma delle directory IFS condivise … potrebbero venire infettate da virus che arrivano dal mondo dei PC e Server di altri sistemi operativi e, addirittura, causare problemi anche al nostro solido IBM i.
Veniamo al caso specifico: un mio cliente mi chiama al telefono preoccupato perché, dopo aver passato il weekend a cercare di arginare un maledetto virus ransomware circolato in azienda, alcune funzionalità di IBM i non funzionano più. Accidenti, come se di virus non ne avessimo già abbastanza in questo periodo!
Mi collego, vedo che le funzioni HTTPGETCLOB, HTTPOSTCLOB ampiamente utilizzate per interfacciarsi ai Web Service dal mondo IBM i, tornano strani errori e il Joblog riporta messaggi di errore durante la chiamata di alcune funzioni Java dalla SYSTOOLS.
Andando più a fondo scopro che neanche Java funziona … arrivo finalmente alla cartelle incriminata “/QIBM/ProdData/OS400/PASE/bin/java” che contiene un numero importate di file con estensione .laChiffre.
Un virus può fare danni anche all’IBM i?
(Le ultime parole famose…)
No, tranquillo!
L’AS400 non è attaccabile da virus !
Andando a fondo troviamo che sull’IBM i sono condivise in lettura e scrittura delle directory IFS, e in particolare, una directory /QIBM che nessuno si ricorda di aver mai condiviso ne utilizzato. Controllo sugli IBM i di qualche altro cliente e trovo due cartelle condivise ovunque, in alcuni casi sono in lettura e in altri anche in lettura/scrittura. Accidenti, deve essere qualche vecchio default di IBM i o qualcuno ha volontariamente attivato anche la scrittura per qualche ragione nel passato … ma è una situazione abbastanza diffusa (almeno tra i miei clienti).
Le due cartelle incriminate sono:
La prima è una condivisione per delle funzioni tipo LDAP per IBM i se gestite da tools lato PC … nel 90% dei casi inutile
La seconda, la /QIBM, molto più pericolosa probabilmente è una vecchia reminiscenza del passato , credo personalmente di non averla mai utilizzata, ma è lì condivisa e attaccabile dai maledetti virus e ransomware.
Fortunatamente dal cliente c’erano tutti i backup e le directory incriminate sono state ripristinate dal backup.
In questo caso, per il ransomware “la Chiffre” è stato anche abbastanza semplice perché il maledetto rinomina tutti i file che attacca con estensione “.laChiffre”, quindi da Qshell
find / -name 'laChiffre' -print
Index
Vi invito a controllare o far controllare dal vostro sistemista le condivisioni dell’IFS e fare una bella pulizia e, già che ci siete, fate anche una verifica sul salvataggio dell’IFS stesso, spesso dimenticato nelle procedure di backup.
Esistono anche delle soluzioni antivirus e antimalware per IBM i, potrebbe valer la pena prendere qualche informazione in merito.
Nell’immagine qui sotto la /QIBM risulta condivisa in sola lettura … che può andare bene, la DirSrv è invece in lettura/scrittura … se non serve meglio terminare la condivisione … poi ci sono altre directory, quelle delle PTF o delle immagini del sistema operativo … anche queste sarebbe meglio terminarle o metterle solo in lettura e abilitarle quando serve!
Le funzioni di debug con Visual Studio Code sono disponibili da qualche tempo ma questa nuova versione 2.10.0 semplifica la…
A distanza di due anni e mezzo dal mio post Trasferire oggetti con ObjectConnect ed Enterprise Extender, sono finalmente riuscito…
Con un piccolo trucco anche una semplice istruzione SELECT può eseguire qualsiasi comando di sistema ! Vediamo come...
Una mini-guida a puntate per la configurazione, gestione, uso e risoluzione dei problemi di IBM i NetServer
Una mini-guida a puntate per la configurazione, gestione, uso e risoluzione dei problemi di IBM i NetServer
Una mini-guida a puntate per la configurazione, gestione, uso e risoluzione dei problemi di IBM i NetServer
View Comments
Ho aperto una discussione su Midrange.com riguardo a questo problema (https://archive.midrange.com/midrange-l/202002/msg00762.html) che ha creato una interessante discussione ... è stata aperta anche una RFE a IBM per non lasciare di default attiva quella share sulla direcory /QIBM/ProdData/OS400/DirSrv.
Se volete votare per questa RFE:
http://www.ibm.com/developerworks/rfe/execute?use_case=viewRfe&CR_ID=140641