Archives For Sophos Antivirus

Partiamo subito con una certezza, per rianimare chi leggendo il titolo è già cascato dalla sedia: NON si tratta di nomi di profumi di Dolce & Gabbana. Ci siamo? Bene. Ora possiamo cominciare sul serio.

MS17-010: WannaCry, EternalBlue, DoublePulsar (c'è dell'altro?)

Mettiti comodo. L’infezione non è finita perché ne hanno parlato i giornali accantonando il tutto qualche giorno dopo. Questa, così come altre infezioni passate e future, continuano a essere all’ordine del giorno e il metodo è sempre lo stesso: punta e colpisci chi rimane indietro, per scelta o per stupidità.

Sul perché io ci abbia messo diversi giorni a uscire con un articolo beh, è presto spiegato: ho dovuto far fronte alla minaccia, verificando attentamente che ogni macchina fosse protetta, anche quelle che non potevano precedentemente esserlo ma che per qualche motivo non potevano essere aggiornate a un sistema operativo più recente (Matteo, se mi leggi incazzati pure, poi però ne riparliamo alla prima birra, offri tu, così ti spiego perché “non ce lo meritiamo“!), un lavoro che ha mosso un intero ufficio IT e che penso abbia fatto bene a tutti, per avere un polso della situazione davvero preciso, nulla deve sfuggire.

L’origine del “disastro

Inizia il weekend (quello scorso) e con lui un attacco massivo e massiccio contro i sistemi Microsoft che non sono allineati con le patch di sicurezza. Non parlo delle ultime, ma di quelle di due mesi prima. WannaCry(pt) è il suo nome, ed effettivamente da piangere c’è molto, se si fa parte del gruppo degli infettati.

Provo a fartela semplice: te lo ricordi Cryptolocker (e CryptoWall in seguito)? Non siamo andati poi molto più in là, perché di criptazione dei file tutto sommato si tratta, ma di certo ciò che mi stupisce e affascina è il modo in cui tutto ciò viene (ri)proposto, in maniera più completa e complessa, ben ideata e che lascia dietro di sé un’ombra che continua a passeggiare con il PC infetto.

Di articoli online ne trovi centinaia, alcuni più tecnici e altri più divulgativi (ed è giusto così). Io voglio limitarmi a raccogliere sotto un tetto tutto ciò che ho letto, che voglio riportare qui e ricordare in futuro. La gravità di quanto accaduto (e che ancora accade, a oggi che scrivo l’articolo) è stato evidenziato nel blog di Microsoft, scritto da Brad Smith:

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack

Una timeline è stata pubblicata in maniera più che chiara e completa da Luigi Morelli, te la ripropongo qui di seguito:

  • 2001: Il bug in questione viene introdotto involontariamente in Windows XP, e da esso si diffonde in tutte le release successive
  • 2001–2015: Ad un dato momento NSA (probabilmente l’ Equation Group, presumibilmente una sezione di NSA) ha scoperto il bug ed ha predisposto un exploit (programma che ne consente l’utilizzo malevolo) chiamato EternalBlue, che potrebbe o potrebbe non aver utilizzato
  • 2012–2015: Un contraente NSA ruba presumibilmente più del 75% della libreria NSA’s di strumenti di hacking
  • Agosto 2016: Un gruppo chiamato “ShadowBrokers” pubblica strumenti di hacking che dichiarano essere di provenienza NSA; gli strumenti sembrano giungere dall’Equation Group
  • Ottobre 2016: Il contraente NSA di cui sopra viene accusato di aver rubato dati di proprietà NSA
  • Gennaio 2017: ShadowBrokers mettono in vendita un buon numero di strumenti per l’attacco a sistemi Windows, tra questi un exploit zero-day SMB simile ad “EternalBlue” utilizzato in WannaCry per 250 BTC (intorno ai $225.000 di allora)
  • Marzo 2017: Microsoft, senza fanfara, corregge una serie di bugs evitando di specificare chi li abbia scoperti; tra questi l’exploit EternalBlue; sembra alquanto probabile che la stessa NSA li abbia avvertiti
  • Aprile 2017: ShadowBrokers rilasciano una nuova serie di exploits, compreso EternalBlue, probabilmente perché la Microsoft li aveva già corretti, riducendo in tal modo drasticamente il valore degli zero-day exploits in particolare
  • Maggio 2017: WannaCry, basato sull’exploit EternalBlue, viene rilasciato e si diffonde su circa 200.000 computer prima che il suo kill-switch (un sistema per “spegnerlo” online) venga inavvertitamente attivato da un ricercatore ventiduenne; nuove versioni di WannaCry, prive del kill-switch sono già state segnalate

articolo completo: medium.com/@luigimorelli/wannacry-no-grazie-900cba45163a

nota a margine: mi sono permesso di barrare il termine “inavvertitamente” nell’ultima data riportata, perché quel ragazzo, in realtà, di “casuale” non ha fatto un bel niente. Magari non pensava di bloccare l’infezione intera della versione originale di WannaCry, ma di certo sapeva dove stava mettendo le mani.

Di che cacchio stai parlando?

Il protocollo SMB di Windows viene utilizzato principalmente per permettere l’accesso ai file e alle stampanti, ma serve anche per una serie di comunicazioni di sistema che vengono scambiate su una stessa rete locale, in alcuni casi anche online (se si lasciano esposte alcune porte, cosa assai pericolosa). Facendo leva su un errore contenuto all’interno del protocollo (vecchio quanto Windows Xp, appunto), è stato possibile penetrare a bordo di sistemi altrui e far partire la criptazione dei dati, il vero e proprio malware del “pacchetto sorpresa“.

Quell’errore (quel bug) è stato risolto e chiuso da Microsoft a marzo di quest’anno. Trovi tutti i dettagli del caso sulla Technet, rispondono al numero di classificazione MS17-010: technet.microsoft.com/en-us/library/security/ms17-010.aspx. Nel caso in cui questo non dovesse bastare, sappi che per un grande muro, ci vuole un grande pennello per un problema così importante, si va persino a rispolverare ciò che è fuori dal supporto da anni, rilasciando patch ad-hoc che permettono di mettere al sicuro quei terminali che ancora oggi non sono aggiornati a OS di nuova generazione: blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks

Lo avrai capito, l’argomento è serio e fino a oggi difficilmente si erano raggiunte cifre così importanti in così poco tempo. La lista della spesa è quindi da rispettare alla lettera, e prevede che tu faccia un regolare backup dei tuoi dati (regolare vuol dire che non puoi farlo una volta al mese, soprattutto se dalla tua macchina passa una gran quantità di file ogni giorno), che il sistema operativo sia sempre aggiornato e riavviato in seguito all’installazione delle patch (rispettando i cicli di rilascio di Microsoft), che non ci siano applicazioni, porte o configurazioni delle quali non hai più necessità, perché ne perderesti facilmente il controllo con il passare del tempo, te ne dimenticheresti e potrebbero essere falle un domani. A questo va aggiunta la solita raccomandazione relativa all’evitare clic su link sospetti nelle mail (o aperture di allegati che non ti aspetti e dei quali non sei sicuro al 100% che provegano da fonte autorizzata), anche se nello specifico caso di WannaCry e del bug relativo a SMB, è bastato essere all’interno di una LAN dove almeno un PC è stato infettato, per permettere poi a quest’ultimo di fare da cavallo di troia verso il resto dei terminali (non patchati, sottolineo).

E l’antivirus?

I programmi antivirus hanno ricevuto un aggiornamento entro poche ore dall’inizio dell’attacco, per riconoscere e bloccare WannaCry, almeno nella sua versione originale. Questo perché nel corso del tempo (già dopo circa 24 ore dal primo attacco) sono uscite nuove versioni del ransomware, e altre ne usciranno in futuro, per cercare di evitare quanto più possibile di essere intercettate e fermate.

Diversi prodotti di sicurezza includono già funzioni di euristica e prevenzione che permettono di analizzare comportamenti anomali del software, bloccandone subito i possibili effetti dannosi (e mettendo così al riparo la tua macchina), ma nulla di tutto questo ti può far dormire sonni tranquilli o pensare che non sia necessaria una buona prevenzione.

Microsoft ha rilasciato degli aggiornamenti anche per i suoi prodotti di protezione da malware, Defender in primis, ma anche Security Essential (stessa famiglia). Ha inoltre organizzato un piccolo webcast su Skype per parlare di WannaCry, dei suoi effetti, dei suoi danni collaterali e di come proteggersi, pubblicando un paio di PDF che ho caricato anche qui nel blog e che ti ripropongo: [CustomerReady] WannaCrypt Guidance e MAY 2017 Premier Final.

Per concludere

Matteo, che ho citato all’inizio dell’articolo, ha registrato un video per raccontare cosa è successo, condendolo ovviamente con alcuni suoi pareri e buoni consigli. Investi qualche minuto per dargli un’occhiata e, se ti dovesse venire voglia di fucilare a distanza quella zebra che balla beh, sappi che non sei il solo, organizziamoci ;-)

Ti segnalo poi un ulteriore articolo di Feliciano Intini, pubblicato sul suo “NonSoloSecurity“, MSFT e conoscenza di vecchia data già dagli eventi legati a Conficker: blogs.technet.microsoft.com/feliciano_intini/2017/05/14/attacco-ransomware-wannacry-risorse-utili-e-chiarimenti, troverai al suo interno consigli, best practice e risposte a domande che tutti coloro che sono stati attaccati si pongono.

Puoi continuare a seguire il flusso delle informazioni su WannaCry su Twitter: twitter.com/hashtag/wannacry?f=tweets&vertical=default (inutile dire che in mezzo a tanto materiale di qualità, troverai anche battute stupide e spam che sfrutta la popolarità di quanto da poco accaduto, del tutto inevitabile).

Aggiornamenti dell’articolo

agg. 26/5

È già di qualche giorno fa (e ha fatto il giro del web), ma resta ovviamente uno di quei punti focali da scolpire su pietra: se sei stato infettato da WannaCry, NON riavviare la tua macchina. Scarica e utilizza immediatamente WanaKiwi di @gentilkiwi per cercare di recuperare quanti più file possibili.

L’articolo completo si trova su Medium e lo ha scritto Matt Suiche, è in inglese ma è spiegato in maniera talmente semplice da essere comprensibile anche per chi parla esclusivamente dialetto milanese.

In fondo dovrai solo scaricare e avviare un eseguibile nel più breve tempo possibile, così da permettergli di procedere con la ricerca dei processi del ransomware e della relativa chiave generata, così da poter cominciare una decriptazione dei tuoi file, per evitare (in realtà non avresti mai dovuto pensarlo o farlo neanche prima, nda) di dover pagare il riscatto per avere –forse– indietro il tuo materiale. Allo stato attuale, l’applicazione è stata testata con successo su sistemi Xp, Vista, 7 e relativi fratelli lato server (per capirci: Windows 2003 e 2008), con risultati più che positivi in architettura x86 (non dovresti avere problemi nel caso in cui tu abbia una macchina con OS x64).

Wanakiwi

  1. Download wanakiwi here
  2. wanakiwi.exe will automatically look for the 00000000.pky file.
  3. Cross fingers that your prime numbers haven’t been overwritten from the process address space.

continua a leggere: blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d

MS17-010: WannaCry, EternalBlue, DoublePulsar (Aggiornato)


agg. 22/5

Più sono le informazioni che vorresti riportare e citare, più facilmente le dimentichi. Mea culpa, e grazie a Elisabetta per avermi ricordato che ho mancato di portare alla tua attenzione un altro ottimo articolo, con il quale condivido pressoché il 99% del pensiero scritto riguardo i vari punti focali con i quali un amministratore di reti e sistemi si trova a combattere quotidianamente.

Ovvero, tutto quello che ho aggiunto in seguito rispetto alla pubblicazione originale del mio articolo, perché l’ho sbadatamente dimenticato o perché qualcuno mi ha segnalato buone letture che meritano di essere riportare anche in questi personali lidi. Primo tra tutti è un articolo pubblicato sul blog Agenzia Digitale, e che di seguito “embeddo“:

Wannacry, le sciocchezze che dicono gli “esperti”

In un paio di passaggi ci si rende conto di quanto possa essere difficile il nostro mestiere, e di quanto sia sciocco (oggettivamente, ma anche soggettivamente parlando) affermare che sarebbe bastato mettere una patch, sostituire un OS o tenere sempre a portata di mano un backup, per lo meno applicato a un contesto così delicato come l’azienda di medie (o più grandi) dimensioni, un panorama “multi-etnico” (se così si può definire), dalle mille sfaccettature e che non sempre (anzi, proprio mai) mostra davanti agli occhi una strada in discesa:

(4) “Ma questi non capiscono nulla, dovevano fare i backup!”. Ovviamente. Ma chi ci dice che i backup non esistono? Pensate ad un attacco di ransomware che mette fuori uso qualche centinaio di computer. Quanti ci vuole per (a) ripulire i sistemi dal malware (b) ripristinare i backup dei dati? Che nel mondo reale ci sia un periodo che può passare da qualche ora a qualche giorno di down mi sembra ragionevole.

e ancora:

(5) “Basta con Windows! Passiamo tutti a Linux!”. Bene, chi scrive utilizza praticamente solo Linux ed è un fervente sostenitore dell’open source, quindi questo discorso, perlomeno con me, sfonda una porta aperta. Il problema è che non la deve sfondare con me ma con i responsabili IT di una quantità di aziende medio-grandi che hanno svariate buone ragioni per non seguire questo consiglio – purtroppo, aggiungo io [cut …]

Perché sì, spesso siamo circondati da esperti (?!?) che –concordando con l’articolo di Alberto Berretti– hanno gestito al massimo una rete casalinga “complessa” (qualche cellulare, una ChromeCast e forse un router diverso da quello fornito dal provider della linea voce/dati), nella loro vita, è evidente.


Rimane ancora valido quanto detto nell’articolo originale: se pensi che questo articolo debba raccogliere altro materiale, vuoi proporre link di approfondimento o altro ancora, o semplicemente dire la tua in merito, l’area commenti è a tua totale disposizione! :-)

Condividi l'articolo con i tuoi contatti:

SuperMario-big_booÈ una di quelle cose che potreste necessitare nei casi più estremi, quelli per i quali la macchina sembra irrecuperabile perché al boot di Windows cominciano ad uscire fuori finestre da qualsiasi punto dello schermo, errori irreversibili per DLL apparentemente danneggiate, programmi che si aprono in automatico e chissà cos’altro. Il vostro sistema operativo privo ormai di difese immunitarie funzionanti potrebbe aver esalato l’ultimo respiro. C’è però un’ultima speranza prima della morte certa e della necessaria formattazione.

Si chiamano immagini di boot, le vecchie ma sempreverdi “live” che un tempo si masterizzavano su CD e oggi si portano in giro facilmente su chiave USB, e così come quelle che utilizzo per cambiare una password di amministratore o clonare un disco fisso possono avere a bordo software di ogni tipo, antivirus compreso.

Mi sono ritrovato nella classica situazione irrecuperabile e per aiutare un amico ho deciso di mettere alla prova una di queste immagini. Mi sono affidato a ESET che -come molti di voi sapranno- tira le fila del famoso NOD32, l’ho usato molto in passato e non mi ha mai deluso. L’azienda mette a disposizione un piccolo tool che è in grado di scaricare una ISO live e masterizzarla su CD o su chiave USB (preparandola in modalità boot all’avvio del PC), non dovrete pensare ad altro, si chiama SysRescue e si scarica gratuitamente da eset.com/int/download/utilities/detail/family/239

ESET SysRescue

Il sistema è basato su Linux e una volta caricato in RAM basterà lanciare un update delle definizioni dell’antivirus e lanciare in seguito una scansione (di qualsiasi tipo vogliate, dalla più tradizionale alla custom personalizzabile). Le due istruzioni basilari che ho appena riportato nell’articolo fanno parte dello sfondo del Desktop del sistema live, così sarete sicuri di non dimenticarle ;-)

Oltre ad ESET anche altre grandi aziende del settore mettono a vostra disposizione i propri tool ed immagini live, vi riporto qualche collegamento interessante in una lista pubblica: delicious.com/gioxx/Antivirus%3A%20Bootable%20Images%20%28ISO%2FTools%29

Tra i grandi nomi compaiono anche Kaspersky, Sophos, Comodo, Trend Micro e molti altri, anche Microsoft che mette a disposizione una live del suo Security Essentials che attualmente utilizzo sulla maggior parte delle macchine della mia famiglia dove Windows 7 la fa da padrone ;-)

In ogni caso fate attenzione a chi avrà necessità di una connessione e chi no, chi potrà essere masterizzato / inserito su chiavetta senza ulteriori interventi e chi invece necessita di particolari procedure un pelo più complesse. Si tratta di strumenti sempre molto utili ma non longevi per ovvi motivi, ricordate quindi di ricreare il vostro supporto (CD/USB) di tanto in tanto prima di riutilizzarlo, conviene chiaramente munirsi di CD riscrivibile se ancora preferite la “vecchia scuola“, diversa è la questione in caso si utilizzi un PC non molto anziano in grado di far partire anche un supporto USB.

Buon lavoro e buona fortuna per la pulizia delle infezioni che hanno deciso di rovinare la vostra giornata (o quella di un collega, un amico o chiunque altro vi abbia portato il PC come un bimbo malato da curare) :-)

Condividi l'articolo con i tuoi contatti:

Sembra un po’ la storia infinita, il tutto si ripete puntuale quasi quanto le tasse. Aggiornamento del client Symantec Endpoint Protection dei client aziendali, un riavvio del PC, Lotus Notes che parte (e già questo è un miracolo) ma che va automaticamente in crash non appena si prova ad aprire un allegato (doppio clic sul file allegato / apri).

Ricordate quel problema legato alle librerie DLL caricate all’avvio del client poiché richiamate dal file di configurazione notes.ini? Non ne ho parlato in questo blog ma ricordo di aver scritto qualcosa su Twitter o Facebook (ora la memoria potrebbe ingannare), lo ricordo brevemente per capire di cosa sto parlando: all’avvio del programma, Lotus Notes andava immediatamente in crash a causa del “.dll” che seguiva il nome delle librerie dichiarate nel notes.ini (contenuto nel proprio profilo in %LocalAppData%\Lotus\Notes\Data), come discusso in questo thread del forum di supporto Symantec.

Stavolta l’avvio del programma riesce senza crash ma come già detto sopra si ottiene facilmente aprendo un qualsiasi allegato. L’errore è riproducibile ed è comparso “come per magia” solo dopo l’installazione dell’ultimo aggiornamento 12.1.3001.165 del client antivirus. Avevo immediatamente pensato al problema sopra descritto ma andando a togliere il .DLL dalle librerie caricate non ottenevo il risultato sperato.

Come risolvere? Presto detto: in teoria basta una sola mossa ma potrebbero essere necessari altri due ritocchi, molto piccoli anche loro, vediamo quindi quali.

Notes.ini, ancora lui

Aprite il file “notes.ini” che trovate in %LocalAppData%\Lotus\Notes\Data e togliete tutto ciò che viene dopo “Timezone=-1” (vale anche se il valore è diverso da -1, sia chiaro), salvate e chiudete il file. Dovreste aver ottenuto qualcosa di molto simile a questo:

[Notes]
KitType=1
SharedDataDirectory=C:\ProgramData\Lotus\Notes\Data\Shared
UserInterface=it
InstallType=6
InstallMode=1
NotesProgram=c:\Program Files\IBM\Lotus\Notes\
Directory=C:\Users\MARIO.ROSSI\AppData\Local\Lotus\Notes\Data
FaultRecovery_Build=Release 8.5.3FP3
DSTLAW=3,-1,1,10,-1,1
USING_LOCAL_SHARED_MEM=1
LOCAL_SHARED_MEM_SESSION_ID=1
SU_IN_PROGRESS=0
SU_NEXT_UPDATE=17/10/2013 08:37:48
SU_FILE_CLEANUP=C:\Users\MARIO.ROSSI\AppData\Roaming\smkits
SUT_NEXT_UPDATE=17/10/2013 08:37:48
FontIncrease=0
StandardWorkspace=1
Timezone=-1

Se in mezzo a quelle prime righe doveste trovare anche questa stringa (o molto simile, basta contenga EXTMGR_ADDINS) cancellatela:

EXTMGR_ADDINS=ConnAddin

Aprendo ora Lotus Notes vi verrà richiesta la prima configurazione (nome e cognome dell’utilizzatore, server Domino, ecc.), il vostro Workspace è ancora lì ad aspettarvi, così come la rubrica personale, nulla è andato perduto se non la primissima configurazione. Fatela e portatevi sullo spazio di lavoro come nulla fosse mai successo.

Cercate ora una mail con un allegato, provate a fare doppio clic e “Apri”, Lotus Notes funziona ancora? Avete appena risolto il problema.

Il problema c’è ancora?

Oltre al notes.ini nella cartella del profilo c’è un secondo notes.ini contenente meno righe all’interno della cartella C:\Programdata\Lotus\Notes\Data (su Windows 7 e 8). Potete cancellarlo (meglio rinominarlo), il tutto rigorosamente a client di posta elettronica chiuso. Verificate ora che tutto sia tornato a funzionare.

Fermare i processi legati a Notes da CMD

Per evitare che qualche sessione di lavoro sia rimasta appesa non permettendovi così di mettere mano ai notes.ini o riavviare correttamente il client di posta è consigliato uccidere ogni processo servendovi di una funzione integrata in Notes facilmente richiamabile da command. Da Start / Esegui digitate “cmd” (senza virgolette come sempre) e premete invio. Portatevi ora all’interno della cartella del profilo dove c’è il notes.ini principale, tipicamente:

cd Appdata\Local\Lotus\Notes\Data

ora dovrete richiamare il file nsd.exe che si trova invece nella cartella di installazione del Lotus e chiedergli di fare un “kill” dei processi. Giusto per capirci, questo:

C:\Users\MARIO.ROSSI\AppData\Local\Lotus\Notes\Data>"\Program Files\IBM\Lotus\Notes\nsd.exe" -kill

Fate attenzione alle virgolette, stavolta sono necessarie :-)

Dando un colpo e aspettando qualche secondo verranno terminati eventuali processi ancora attivi di Notes e verrà loggata l’attività. Al termine potrete provare a riaprire il client di posta per verificare che tutto sia tornato correttamente funzionante.

Buon lavoro.

Condividi l'articolo con i tuoi contatti:

Un titolo piuttosto complesso, me ne rendo conto. Dato che a breve con molta probabilità Sophos Experts Italy sarà archiviato (numeri che poco convincono, collaborazione pressoché nulla, a meno che qualcuno non mi scriva in merito due righe a breve) ricomincio a scrivere articoli riguardanti le piattaforme Sophos sul mio blog, convinto che possano avere maggiore visibilità e andare ad arricchire la serie di articoli già pubblicati in passato.

Stavolta vorrei parlarvi di una casistica analizzata presso un cliente che ha deciso di aggiornare la sua console 3 passando alla nuova 4, basandosi su un sistema Windows Server 2008 a 64 bit (una configurazione che raramente vedo presso altre aziende, ancora oggi).

Il problema? Dopo l’upgrade del software installato sul server, i client hanno deciso di non aggiornarsi con i nuovi motori antivirus, motivo per il quale i clienti rimangono scoperti dal rilascio dei nuovi aggiornamenti da parte della nota azienda di sicurezza informatica. La risoluzione? Forzare un’installazione del nuovo antivirus nel momento in cui le macchine (gli utenti) fanno ingresso nel dominio.

A cosa appoggiarsi

Una stringa di controllo in Kix32 (software sempre più utilizzato, associato al netlogon) e un banale script batch che carichi il software necessario. La procedura è presto spiegata:

$PGRFILE=%Programfiles%+"\Sophos\Sophos Anti-Virus\SAVControl.dll"
if exist ($PGRFILE)
 ? "Antivirus Aggiornato" @CRLF
ELSE
 ? "Installo Antivirus" @CRLF
 ;shell '%comspec% /C '
 shell "cmd /c "+$LogonServer+"\netlogon\instSophos.bat /scrub"
ENDIF
EXIT

Perché il controllo su una DLL? Sophos 7 (versione dell’antivirus gestita dalla console 3) non ha tra i suoi file quella libreria. E’ invece presente tra i file di una installazione della versione 9 (gestita dalla console 4).

A questo punto sarà necessario rimuovere il precedente antivirus e partire con l’installazione del nuovo. Per andare ancora più sul sicuro ho preferito lanciare prima il CRT (Competitor Removal Tool) ed in seguito il setup:

@ECHO OFF
echo Verifica e installazione Sophos Antivirus ...
echo Non chiudere questa finestra.
echo;
REM --- Deploy to Windows 2000/XP/2003
\\SERVERSOPHOS\SophosUpdate\CIDs\S000\SAVSCFXP\crt\avremove.exe
\\SERVERSOPHOS\SophosUpdate\CIDs\S000\SAVSCFXP\Setup.exe -updp "\\SERVERSOPHOS\SophosUpdate\CIDs\S000\SAVSCFXP" -user "DOMINIO\AMMINISTRATORE" -pwd "PASSWORD" -mng yes
REM --- End of the script
:_End

L’operazione richiederà pochi minuti (a patto che le macchine non siano particolarmente datate o con risorse hardware molto limitate) e verrà ovviamente eseguita una sola volta per postazione. Il controllo (dalla seconda connessione al dominio) fallirà e l’utente avrà rapido accesso ai suoi dati ed al suo desktop.

Buon lavoro :)

Condividi l'articolo con i tuoi contatti:

Un processo troppo spesso sottovalutato è quello del backup, talvolta anche in azienda (sigh!). La colpa viene sempre data al poco tempo a disposizione, alla poca voglia forse, sporadicamente del non sapere dove / come / quando fare un backup. Oggi ho notato che ho predicato bene ma ho razzolato male fino all’ultimo momento, il server antivirus aziendale non effettuava regolare backup SQL quotidianamente.

Per questo motivo ho deciso di rimediare e mettere in piedi un processo automatico che svolge lo sporco lavoro ogni notte, operazione schedulata alle 3.00 per l’esattezza.

Mi sono servito ancora una volta di uno script batch, il 7-Zip Command Line Version, l’eseguibile sleep presente nel Windows 2003 Server Resource Kit e di un secondo batch già presente in tutte le installazioni di Sophos (%programfiles%\Sophos\Enterprise Console\DB\BackupDB.bat).

Prima di partire vi invito a copiare il 7za.exe ed lo sleep.exe all’interno della cartella Windows\System32 della vostra macchina, così da poter essere richiamati facilmente dal prompt di MS-Dos.

Lo script è davvero semplice, può essere salvato in qualsiasi posizione. Nel mio caso ho deciso di lasciarlo in %programfiles%\Sophos.

Prima il codice, poi la spiegazione :-)

@echo off
cls
echo Backup Database SOPHOS su macchina locale
echo;
echo Controllo esistenza cartella bck su disco C ...
echo;
if not exist C:\bck mkdir C:\bck
cd "%programfiles%\Sophos\Enterprise Console\DB"
echo Avvio procedura di backup Database ...
echo Tempo di attesa: 20 sec.
for /f "tokens=1-3 delims=/- " %%a in ('date /t') do set xdate=%%a_%%b_%%c
start /min BackupDB.bat C:\bck\sophos_%xdate%.sql SOPHOS
sleep 20
echo;
echo Backup effettuato.
echo;
echo Compressione con 7zip ...
echo;
7za.exe a -t7z -mx5 C:\bck\sophos_%xdate%.7z C:\bck\sophos_%xdate%.sql
echo;
echo Cancellazione file temporanei ...
del C:\bck\sophos_%xdate%.sql
echo;
echo Processo terminato

La cartella usata per tenere in piedi i backup è la C:\bck, potete tranquillamente cambiarla sostituendola nello script. Sappiate comunque che il batch di Sophos gestisce meglio i nomi di cartelle senza spazi al loro interno, regolatevi di conseguenza ;)

Per differenziare le versioni dei backup ho deciso di includere la data. Il parametro funzionante sotto DOS è “%date%” che però restituisce un valore come questo qui di seguito:

C:\Documents and Settings\Giovanni>echo %date%
24/07/2009

C:\Documents and Settings\Giovanni>

motivo per il quale diventa necessario sostituire quegli slash con qualcosa di più compatibile. Il ciclo for inserito nello script permette di farlo inserendo gli underscore perfettamente compatibili con il batch di Sophos (e con il mio!), generando un nuovo valore %xdate% richiamabile in qualsiasi momento.

Lo sleep.exe viene richiamato nel frattempo che va in funzione lo “start BackupDB.bat” che si preoccupa di effettuare in una finestra minimizzata il file SQL di esportazione dall’Enterprise Console. 20 secondi bastano e avanzano per un file che racchiude informazioni per un totale di circa 200 macchine. Nel vostro caso potrebbe essere necessario aumentare il numero di secondi (dipende da quanto è grande l’esportazione).

Il funzionamento (molto elementare) del batch BackupDB realizzato da Sophos è spiegato nel /? lanciato da DOS, lo riporto:

C:\Program Files\Sophos\Enterprise Console\DB>BackupDB.bat

Usage:
 BackupDB backup_file_path [instance_name]

C:\Program Files\Sophos\Enterprise Console\DB>

altrimenti bisognerebbe far riferimento alla procedura manuale, spiegata in un documento della KB Sophos.com all’indirizzo:

sophos.com/support/knowledgebase/article/27265.html

Finito il backup si passa alla compressione grazie alla riga di comando del 7za precedentemente copiato nella Windows\System32. La riga che lancia la compressione del file SQL indica all’applicativo la necessità di generare un file 7z (-t7z) con compressione normale dandogli lo stesso nome del file originale. Per conoscere tutti i segreti della riga di comando di 7za vi rimando ad un fantastico documento, davvero completo:

http://dotnetperls.com/7-zip-examples

Il processo di compressione potrebbe anche impiegare diversi minuti (15 / 20 talvolta) ma schedulando questo lavoro a notte fonda non penso ci siano grossi problemi di sovraccarico della macchina, giusto? ;-)

Come chicca finale si cancella il file *.SQL recuperando spazio sul disco e mantenendo solo il .7z compresso.

Basterà ora aggiungere alle Operazioni Pianificate del sistema il lancio quotidiano (o settimanale se più vi aggrada) del batch, all’ora esatta desiderata.

Cheers.

Condividi l'articolo con i tuoi contatti: