Può capitare di installare il client sophos antivirus su macchine che hanno attivo il servizio di indicizzazione. Tale condizione potrebbe portare alla creazione di n file che a lungo andare possono occupare uno spazio su disco non indifferente, se trascurata la cosa può portare al completo esaurimento dello spazio su disco. Il tutto avviene poichè il servizio di indicizzazione blocca in maniera esclusiva i file temporanei di aggiornamento del client sophos impedendo a quest’ultimo la cancellazione di tali file una volta concluso l’update. La directory in questione è la %windir%\temp\sophos_autoupdate1.dir e per aggiungere un esclusione nel servizio di indicizzazione è sufficente aprire la console di gestione del computer (tasto dx su risorse del computer -> manage o gestione) e posizionarsi sotto servizi e applicazioni -> servizio di indicizzazione -> system -> directory, a questo punto è possibile (tramite tasto destro -> new) impostare la nuova eccezione specificando la non inclusione nel servizio di indexing.

Su consiglio del supporto tecnico sophos inserite un ulteriore esclusione per la directory %programfiles%\sophos\autoupdate\cache.

Nota Bene: il contenuto della directory sotto la temp di windows può essere tranquillamente eliminato, qual’ora si riscontrino ancora dei lock su file verificare che l’esclusione sia stata effettivamente creata, che l’entry sia effettivamente un esclusione e riavviare il servizio di indexing. Per ulteriori informazioni consultare la KB sophos.

Ambiente corporate, solito EndPoint da installare con (diretta conseguenza) un certo numero di macchine client annesse da passare a Sophos Antivirus da precedenti competitor. Rete a “soluzione mista“: una parte di questi PC integra una soluzione Symantec EndPoint, i PC portatili montano Panda Antivirus 2009, il CRT provvederà a disinstallare in autonomia entrambi le soluzioni (qualche difficoltà sulla parte Symantec, avrò modo di parlarvene tra qualche giorno).

Per entrambi i prodotti ho incontrato alcune difficoltà, ecco quali, potrebbero tornarvi utili:

Symantec EndPoint Protection

Mancata disinstallazione del client antivirus, apparentemente nulla di differente dalle altre macchine della stessa sede, nella pratica il CRT falliva nell’arrivare alle chiavi di registro incriminate. La risoluzione? Lanciare a mano (se possibile fisicamente davanti alla macchina, altrimenti da remoto) un batch che permette la rimozione forzata e automatizzata. Ne parlo qui:

supportoinformatico.org/nav-remover-norton-removal-tool.html

Panda Antivirus 2009

Non cambia di molto la storia rispetto a quanto esposto sopra. In questo caso però l’effetto è leggermente differente e molto più fastidioso. CRT è in grado di rimuovere il software Panda installato sulla macchina ma quest’ultimo blocca le funzionalità di rete del PC dove risiedeva precedentemente. Connettività limitata o assente, nessuna possibilità di mettere a posto manualmente la scheda di rete o il suo driver o ancora le sue impostazioni. Toccherà fare uso di un Remover appositamente rilasciato dalla casa madre, ne parlo qui:

supportoinformatico.org/panda-uninstaller-09.html

Conoscete altri antivirus che vi hanno causato problemi durante (o dopo) la rimozione? Parliamone insieme nei commenti, se volete :-)

Sto provando in questi giorni la nuova console 4, parte integrante del nuovo EndPoint da poco rilasciato da Sophos. Tra gli errori che potrebbero capitarvi ne trovate uno particolarmente comune (da quanto ho potuto capire), abbastanza semplice da mettere a tacere, risolvibile tramite documentazione ufficiale, affrontato qui di seguito passo-passo.

Si tratta di un errore di “mancata connessione al server di gestione“, detto con parole meno generiche: un mancato avvio del servizio di Management Service. Qui di seguito la schermata che potrebbe comparire sul vostro schermo:

Connessione con il server di gestione non riuscita

Aprendo il gestore dei servizi noterete un fermo proprio su “Sophos Management Service“, indispensabile per il corretto avvio della Enterprise Console. Inutile provare ad avviare manualmente il servizio:

Services.msc: Sophos Management Service non avviabile

Secondo documento ufficiale della KB Sophos.com ci si può muovere in 2 diversi modi:

sophos.com/support/knowledgebase/article/16195.html

Ho personalmente sperimentato il secondo, perfettamente funzionante in una sola mossa. Sarà necessario aprire il registro di Windows e andare a cancellare (o rinominare) la chiave DatabaseUser presente in HKEY_LOCAL_MACHINE\SOFTWARE\sophos\EE\Management Tools (come in figura):

Regedit: DatabaseUser

Provando ora ad avviare il servizio Sophos Management Service tutto tornerà a funzionare correttamente.

Buon lavoro :-)

Qualunque EndPoint installato su macchina server crea una apposita cartella di distribuzione dei file (tipicamente %programfiles%\Sophos Sweep for NT) dalla quale sarà possibile lanciare il setup dell’antivirus, scaricare definizioni aggiornate e modificare le cartelle create dalla libreria della console.

Se lo si desidera, si può installare Microsoft IIS (o Apache) per “portare quella cartella su HTTP” e permettere il download dei file direttamente dal browser, quindi dal client antivirus installato su una qualsiasi macchina della rete.

Quello che alcuni non sanno e che troppe volte si da per scontato è che IIS impostato di default non permette questo. I file vengono in alcuni casi aperti / visualizzati a video e non scaricati come invece dovrebbe essere. Per risolvere occorre impostare un MIME type che forzi il download, come spiegato in questo documento ufficiale:

sophos.com/support/knowledgebase/article/12535.html

In parole povere: aprite l’IIS Manager, modificate le proprietà del sito web “Sophos” (o qualsiasi altro nome abbiate deciso di dare alla trasposizione sul web della cartella Interchk dell’antivirus) e da HTTP Headers andate a ritoccare i MIME Types aggiungendo una wildcard come in figura:

Confermate, salvate, uscite. Ora provate a modificare una policy da console così che un client usi il protocollo HTTP per scaricare le nuove definizioni, tutto dovrebbe funzionare regolarmente senza problema alcuno ;)

Un veloce post per indicare un problema rilevato con la versione 1.0.6.4 di UltraVNC da poco rilasciata come stabile nel sito web ufficiale …

Pare che un applicativo “interno” utilizzato per modificare il comportamento dei driver video quando ci si connette alla parte Server del programma vada in conflitto con Sophos Antivirus, visto come Suspicious behavior.

Il documento ufficiale dell’applicativo è disponibile sul sito web di UltraVNC:

uvnc.com/features/driver.html

Pare quindi trattarsi di falso positivo rilevato come HIPS/FileMod-005, l’intenzione di installare un driver senza specifica autorizzazione dell’utente:

Runtime behavior alerts of this type inform the user that an attempt has been made to install a suspicious-looking system driver. Any attempt at this behavior by an unauthorized program could indicate a malware infection.

sophos.com/security/analyses/suspicious-behavior-and-files/hipsfilemod005.html

L’applicativo è totalmente innocuo e l’installazione non comporta alcun problema. Potrebbe trovarsi in tre cartelle differenti all’interno del disco principale della macchina, come specificato nel documento di ThreatExpert.com:

threatexpert.com/files/setupdrv.exe.html

ma generalmente (almeno in quest’ultima versione specifica) si troverà all’interno di %programfiles%\UltraVNC\driver\xp\setupdrv.exe.

Come ulteriore sicurezza vi propongo un report generato da NoVirusThanks:

File Info

Report generated: 29.7.2009 at 11.52.09 (GMT 1)
Filename: setupdrv.exe
File size: 64 KB
MD5 Hash: 6af96a4f37430edbf53c2e8611c32ce7
SHA1 Hash: DD2A41FCC40287BA6086D561A3E7117599EAC109
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 0 on 22

Detections

a-squared – -
Avira AntiVir – -
Avast – -
AVG – -
BitDefender – -
ClamAV – -
Comodo – -
Dr.Web – -
Ewido – -
F-PROT6 – -
Ikarus T3 – -
Kaspersky – -
McAfee – -
NOD32 v3 – -
Norman – -
Panda – -
QuickHeal – -
Solo Antivirus – -
Sophos – -
TrendMicro – -
VBA32 – -
VirusBuster – -

Scan report generated by
NoVirusThanks.org

Il problema è comunque di facile soluzione: inserire setupdrv.exe tra gli applicativi autorizzati, così da non farlo considerare più potenzialmente dannoso:

Applicare la policy modificata e provare a reinstallare UltraVNC nel caso in cui questo non funzionasse ancora in modo corretto.

Un processo troppo spesso sottovalutato è quello del backup, talvolta anche in azienda (sigh!). La colpa viene sempre data al poco tempo a disposizione, alla poca voglia forse, sporadicamente del non sapere dove / come / quando fare un backup. Oggi ho notato che ho predicato bene ma ho razzolato male fino all’ultimo momento, il server antivirus aziendale non effettuava regolare backup SQL quotidianamente.

Per questo motivo ho deciso di rimediare e mettere in piedi un processo automatico che svolge lo sporco lavoro ogni notte, operazione schedulata alle 3.00 per l’esattezza.

Mi sono servito ancora una volta di uno script batch, il 7-Zip Command Line Version, l’eseguibile sleep presente nel Windows 2003 Server Resource Kit e di un secondo batch già presente in tutte le installazioni di Sophos (%programfiles%\Sophos\Enterprise Console\DB\BackupDB.bat).

Prima di partire vi invito a copiare il 7za.exe ed lo sleep.exe all’interno della cartella Windows\System32 della vostra macchina, così da poter essere richiamati facilmente dal prompt di MS-Dos.

Lo script è davvero semplice, può essere salvato in qualsiasi posizione. Nel mio caso ho deciso di lasciarlo in %programfiles%\Sophos.

Prima il codice, poi la spiegazione :-)

@echo off
cls
echo Backup Database SOPHOS su macchina locale
echo;
echo Controllo esistenza cartella bck su disco C ...
echo;
if not exist C:\bck mkdir C:\bck
cd "%programfiles%\Sophos\Enterprise Console\DB"
echo Avvio procedura di backup Database ...
echo Tempo di attesa: 20 sec.
for /f "tokens=1-3 delims=/- " %%a in ('date /t') do set xdate=%%a_%%b_%%c
start /min BackupDB.bat C:\bck\sophos_%xdate%.sql SOPHOS
sleep 20
echo;
echo Backup effettuato.
echo;
echo Compressione con 7zip ...
echo;
7za.exe a -t7z -mx5 C:\bck\sophos_%xdate%.7z C:\bck\sophos_%xdate%.sql
echo;
echo Cancellazione file temporanei ...
del C:\bck\sophos_%xdate%.sql
echo;
echo Processo terminato

La cartella usata per tenere in piedi i backup è la C:\bck, potete tranquillamente cambiarla sostituendola nello script. Sappiate comunque che il batch di Sophos gestisce meglio i nomi di cartelle senza spazi al loro interno, regolatevi di conseguenza ;)

Per differenziare le versioni dei backup ho deciso di includere la data. Il parametro funzionante sotto DOS è “%date%” che però restituisce un valore come questo qui di seguito:

C:\Documents and Settings\Giovanni>echo %date%
24/07/2009

C:\Documents and Settings\Giovanni>

motivo per il quale diventa necessario sostituire quegli slash con qualcosa di più compatibile. Il ciclo for inserito nello script permette di farlo inserendo gli underscore perfettamente compatibili con il batch di Sophos (e con il mio!), generando un nuovo valore %xdate% richiamabile in qualsiasi momento.

Lo sleep.exe viene richiamato nel frattempo che va in funzione lo “start BackupDB.bat” che si preoccupa di effettuare in una finestra minimizzata il file SQL di esportazione dall’Enterprise Console. 20 secondi bastano e avanzano per un file che racchiude informazioni per un totale di circa 200 macchine. Nel vostro caso potrebbe essere necessario aumentare il numero di secondi (dipende da quanto è grande l’esportazione).

Il funzionamento (molto elementare) del batch BackupDB realizzato da Sophos è spiegato nel /? lanciato da DOS, lo riporto:

C:\Program Files\Sophos\Enterprise Console\DB>BackupDB.bat

Usage:
 BackupDB backup_file_path [instance_name]

C:\Program Files\Sophos\Enterprise Console\DB>

altrimenti bisognerebbe far riferimento alla procedura manuale, spiegata in un documento della KB Sophos.com all’indirizzo:

sophos.com/support/knowledgebase/article/27265.html

Finito il backup si passa alla compressione grazie alla riga di comando del 7za precedentemente copiato nella Windows\System32. La riga che lancia la compressione del file SQL indica all’applicativo la necessità di generare un file 7z (-t7z) con compressione normale dandogli lo stesso nome del file originale. Per conoscere tutti i segreti della riga di comando di 7za vi rimando ad un fantastico documento, davvero completo:

http://dotnetperls.com/7-zip-examples

Il processo di compressione potrebbe anche impiegare diversi minuti (15 / 20 talvolta) ma schedulando questo lavoro a notte fonda non penso ci siano grossi problemi di sovraccarico della macchina, giusto? ;-)

Come chicca finale si cancella il file *.SQL recuperando spazio sul disco e mantenendo solo il .7z compresso.

Basterà ora aggiungere alle Operazioni Pianificate del sistema il lancio quotidiano (o settimanale se più vi aggrada) del batch, all’ora esatta desiderata.

Cheers.

Giusto ad inizio settimana un collega mi ha richiesto una “automatizzazione di un processo” di installazione Sophos Antivirus su delle macchine virtuali (Thin client per la precisione), in un certo senso si parla di un fritto misto tra processi unattended e VDI (Virtual Desktop Infrastructure). C’è una scheda tecnica abbastanza dettagliata a tal proposito, nella KB del sito Sophos.com:

sophos.com/support/knowledgebase/article/28591.html

Riporta passo dopo passo le operazioni da compiere, fortunatamente semplici da replicare tramite batch senza l’intervento umano. Chiaramente il batch che si andrà a realizzare avrà la necessità di essere avviato come amministratori della macchina (locali o di dominio, non ha importanza), questo perché si richiamano delle stringhe di installazioni che verrebbero inibite ad un utente normale.

# la procedura da seguire

qui di seguito i passaggi suggeriti dalla documentazione ufficiale:

1. Install Sophos Anti-Virus to a client machine as if it was a fresh install.
2. After update has finished, stop the Sophos AutoUpdate service. (This prevents an update starting during the procedure, which would attempt to install the other components, breaking the image. The service will restart automatically at the end of the procedure.)
3. Go to the folder C:\Program Files\Sophos\Remote Management System, and make copies of the following files :
   • cac.pem
   • mrinit.conf
4. Go to ‘Add/Remove Programs’, and remove the following components :
   • Sophos Anti-Virus
   • Sophos Remote Management System
5. Delete the contents of the : C:\Program Files\Sophos\AutoUpdate\Cache folder
6. Delete the : C:\Program Files\Sophos\AutoUpdate\data\status\status.xml file
7. Re-create the : C:\Program Files\Sophos\Remote Management System folder, and add (to it) the copies of cac.pem, and mrinit.conf you made (above)
8. Now take the image

# il batch spiegato passo-passo

Tutto parte quindi da un’installazione pulita di Sophos Antivirus, da eseguire con procedura standard su una macchina che si vorrà utilizzare poi come master (clone) per le altre a venire.

Fermando il servizio AutoUpdate si eviteranno interventi da parte del server, condizione fondamentale durante il processo di preparazione:

echo *** Fermo il servizio Update ... ***
echo.
net stop "Sophos AutoUpdate Service"

si copiano quindi i file di configurazione del RMS (Remote Management System) fuori dalla cartella iniziale, basta la root della cartella dell’antivirus:

echo *** Copio file RMS ... ***
echo.
cd "%programfiles%\Sophos\Remote Management System"
copy cac.pem ..\cac.pem
copy mrinit.conf ..\mrinit.conf

e si procede con la disinstallazione di RMS e parte AntiVirus (lasciando solo -quindi- la parte AutoUpdate):

echo *** Disinstallo Sophos Antivirus ... ***
MsiExec.exe /X{034759DA-E21A-4795-BFB3-C66D17FAD183} REBOOT=SUPPRESS /qn 2>NUL
echo.
echo Eseguito.
echo.
echo *** Disinstallo Sophos Remote Management System ... ***
MsiExec.exe /X{FF11005D-CBC8-45D5-A288-25C7BB304121} REBOOT=SUPPRESS /qn 2>NUL
echo.
echo Eseguito.

una veloce pulizia della cartella Cache seguita a ruota dalla rimozione del file di status dell’ultimo update ricevuto:

echo *** Cancello cartella Cache ... ***
cd ..\AutoUpdate
rd Cache /S /Q
echo.
echo *** Cancello Status Update ... ***
cd data\status
del status.xml

per arrivare infine al ripopolamento della cartella RMS precedentemente disinstallato:

echo *** Popolo cartella Remote Management System ***
cd %programfiles%\Sophos
if not exist "Remote Management System" mkdir "Remote Management System"
move cac.pem "Remote Management System"
move mrinit.conf "Remote Management System"

il gioco è praticamente fatto, la macchina da clonare è pronta (provando ad immaginare che Sophos sia stato l’ultimo software da preparare per il master).

Sulla macchina clonata basterà attendere (o lanciare forzatamente) un aggiornamento del client per far partire immediatamente il download dei pacchetti mancanti con conseguente installazione, nome macchina differente (sicuramente) ma configurazioni praticamente identiche alla macchina che ha generato il clone.

Facile, comodo, veloce :-)

Buon lavoro!