Antivirus para servidores SAP (evitar ransomware)

hola gente, hace poco le entro un virus ransomware a mi servidor de windows, afortunadamente ya se ha puesto todo al corriente, pero me gustaría que me recomendaran un antivirus para mi equipo el servidor, alguien que entre al área de sistemas o trabaje en el mismo que me recomiende un antivirus o cual han visto de ser consultores, me gustaría que me apoyaran en esta elección, saludos buen día.

1 me gusta

Mañana te averiguo en el área de sistemas de mi empresa a ver qué Antivirus usan en los servidores :wink:

En el cliente donde trabajo se usa Trend Micro.

Hola Daniel,

Sea la solución que elijas, debes considerar implementar esa medida no solo en el servidor, sino en toda la red, ya que este ransomware se propaga por la misma.

Consulta, ¿el servidor nunca ha tenido antivirus? :dizzy_face:

Saludos.

1 me gusta

Me da bastante curiosidad…

Cómo fue que llegó esa cosa a tu servidor?? Lo utilizabas para ver contenido inapropiado?? :stuck_out_tongue: Es broma, es broma

hola juan, en efecto, como no teníamos la necesidad de las conexiones remotas y la persona que era encargada del área de sistemas “no tiene conocimientos de área” no contaba con antivirus el servidor antiguo ni este nuevo, por lo que se dio la infección.

muchas gracias @SidV saludos.

muchas gracias por al recomendación @Salco saludos.

@Daniel_Torrez, ¿eres parte del equipo de sistemas?

Asumiendo de que no, plantea tu preocupación, pero es el área de sistemas que se debe encargar de qué antivirus u otras medidas toman para que el servidor esté protegido.

Asumiendo que lo seas, ¡uh!, comienza protegiendo el frente de tu red, porque probablemente estas amenazas no lleguen directamente a tu servidor…

1 me gusta

bueno te comento, no contábamos con antivirus, de echo en la empresa tengo 3 meses recién cumplidos el 19 de dic. como encargado de la parte de sistemas, el anterior encargado no tenia antivirus, y todo el problema se origino mediante la complementación de SAP B1 pues para los consultores se les facilitaba el acceso remoto mediante una IP publica pero yo no tengo tantos conocimientos sobre redes, pero me daba una idea que para esa configuración era necesario entrar al router cisco de manera administrador para después, hable a mi ISP y este se encargo de asignarle una IP Publica a una IP Privada de mi red (servidor de windows) eso paso el martes 20 de dic. para que los consultores tuvieran acceso como lo habían pedido, de igual forma para la conexión del cliente móvil de SAP B1, todo funciono perfectamente hasta el día viernes 23 de dic. cuando usuarios se empezaron a quejar que no podían acceder a sus archivos guardado en el disco F: del servidor (compartido por red) fue hasta despues cuando varios usuarios se quejaron que me di cuenta que algo estaba mal con el servidor, al revisar el servidor todos mis datos habían sido encriptados, añadiendo al extensión .id-[id de victima]_locked lo que me hizo restaurar un respaldo que hago constantemente en mi servidor de los archivos del disco F: lamentablemente no hacia respaldos del disco local C: asi que perdí todos mis datos de contabilidad, el virus encripto todos los datos, accesos directos, ejecutables de software todo, hasta el día de hoy me doy cuenta que no afecto las bases de datos de RH y Contabilidad, bases que se encontraban en el disco local C: en resumen quedo de experiencia hacer respaldo de esos datos y hacer puntos de restauración del servidor para volver en dado caso que pase algo igual o utilizar un antivirus potente, actualmente esperamos unas propuestas de algunos proveedores para proceder con la implementacion de algo que evite futuros ataques :v:

1 me gusta

hola juan, si evidentemente soy el encargado del área de sistemas, de sap, de contpaq (contabilidad) y Tress (recursos humanos) y mi experiencia no es la suficiente como cualquier recién egresado de esta carrera, y al no contar con apoyo de nadie que tenga mas experiencia que yo en esta empresa bue ya te imaginaras como va esto xD

ya estoy trabajando en todo eso por otra parte esta que no se tiene mucho presupuesto para comprar antivirus para todos, de echo lo mas recomendable para este tipo de casos es contar con un respaldo, lo bueno es que la data base de SAP esta en hana así que no la tocaron, Saludos.

Orale, que fuerte… Ese tipo de virus siempre fue mi pesadilla en mi anterior trabajo, nunca me pasó en ningun servidor, pero si le pasó al equipo de una usuaria ‘administrativa’ y desde entonces viví con esa preocupación…

Bueno, esta experiencia te hará mas grande :slight_smile:

De echo me traumo (marco) de por vida, vi pasar mis 4 años de carrera frente a mis ojos, creí que perdería mi trabajo me llevaría malas recomendaciones todo había terminado, pero dijeron que no fue mi culpa, que si fuese mi culpa seria un tipo de culpa donde se hizo inconscientemente donde yo hice lo que la empresa me pidió xD y lo peor que paso en vísperas de navidad xD así que bye navidad :C lo bueno que ya estamos solucionando toda.

@Daniel_Torrez según leo, también tienes una limitante… mencionas que no tienen presupuesto, favor recuerdales lo importante que es invertir en la seguridad lógica de la red, quizás eso que te pasó no fue a mayores, pero imagínate que se perdiera toda la información ya que una vez esté cifrada, tendrás que pagar…

Mira las opciones que tienen los proveedores, comparando con el presupuesto de la compañía.

En donde solía trabajar, se usaba McAfee, ellos tienen una solución a nivel de red que incluye varios productos MUY buenos (sin hacer publicidad), que jugando con las directivas (configuración) de los productos, le podías hacer frente a esta amenaza… a un nivel decente.

Los proveedores probablemente te van a hablar de soluciones que vayan conjunto con algún firewall, ya que es más efectivo detener esta amenaza en el frente. El único problema es que ya sale más caro.

Por otra parte, ¿no tienen vpn para realizar la conexión al servidor desde fuera de la compañía? porque entendí que los consultores no se conectan siempre desde dentro de la red, ¿o entendí mal?

Cualquier consulta a la orden, yo también fui el chico de sistemas y de seguridad informática…

si, no se conectan dentro de la red, los consultores estan en CDMX y mi empresa esta en Tijuana y la implenetadora de SAP B1 esta en Monterrey asi que la conexión remota es necesaria, les di una conexión remota por anydesk pero después una consultora de CDMX me pidió la conexión de remoto por que según es mas cómodo para ellos y aprovechando el tema de implementacion móvil se lo di. gracias por la recomendación, me refiero al recurso para los demás usuarios, para el servidor estoy seguro que si le invierten debido a que la implementacion del SAP B1 y el servidor fueron una inversión grande, ellos ya saben de ante mano que una fuerte inversión siempre lleva extras, en este caso la seguridad, gracias por el apoyo tomare en cuenta tu recomendación del antivirus y la del firewall que es mas que seguro adquirirá la empresa.

Yo de redes no sé mucho, pero sé que hay muchas empresas que usan un “servidor” para archivos compartidos, y que no estén en la PC local de cada usuario.

Anécdota al margen:

En un cliente donde me desempeñé como consultor SAP hace unos años atrás, tenían antivirus y políticas de seguridad bastante estrictas, sin embargo una mañana mientras estaba desayunando el área de sistemas de la empresa se colapsó y empezaron a sonar los teléfonos…

Ocurría que se había filtrado uno de estos virus (ransomware) y había encriptado TODA una parte del servidor, archivos que usaban cientos de usuarios estaban corruptos, y para desencriptarlos, tenías que poner una clave que sólo conseguían si enviabas “x” miles de dólares a una determinada cuenta… (los detalles finos de eso no los conozco).

Sé que el bicho infectó todo porque bajó desde una PC usuaria, a las carpetas públicas que tenían en el servidor y empezó a encriptar todo lo que tenía permisos. Y como los usuarios usaban esos archivos, empezaron a quejarse de que estaban corruptos.

Así que imaginense… creo que por más antivirus que haya, debes tener todo “cerrado”, trabajar en local y listo.
Si un usuario se infecta, al menos no pasará al servidor :stuck_out_tongue:

Eso es lo que yo pienso… por supuesto ustedes que son admin de sistemas deben tener otra filosofía :smiley:

2 Me gusta

@Daniel_Torrez ustedes tienen carpetas compartidas en el servidor de SAP?? (esta parte no la entendí bien)

Para mi uno de los mejores antivirus es Kaspersky el cual tiene un instalador dedicado a servidores y con su respectiva configuración (excluir ciertas carpetas) no se ve impactado los recursos del sistema.

2 Me gusta

gracias @SidV por la anécdota algo así paso pero en lugar de ser una PC cliente fue directo al servidor, la razón abrir el nat del router y dejar todos los puertos abiertos al servidor, si bien infecto todos los archivos compartidos, con un buen respaldo se pueden recuperar dichos archivos compartidos en un lapso de 2 horas (en mi caso) variando la cantidad de gb que sea el respaldo (489 GB) en mi caso eso tiene solución de igual forma crear puntos de restauración del servidor para si entrara un ransomware volver un día antes del ataque y el servidor como todo normal (lamentablemente yo no tenia esa practica).

y referente a lo que dices @nicolasegp solo son archivos de los usuarios, hojas de calculo, documentos de word, presentaciones en power point, y si estan compartidas en el servidor windows y este servidor windows conectado a su vez a linux que es donde esta hana.

Esto es un peligro, creo que comentamos en su momento que SAP recomendaba tener el servidor solo para SAP y esta es una de las razones, eso de darle acceso a nivel de archivos a los usuarios es muy peligroso ya que le estas dando permisos de lectura y aparte escritura.

Mi recomendación en tu caso es, si bien tu empresa no quiere gastar mucho, pueden tener un PC Clon con algún sistema de NAS gratuito como FreeNAS, NAS4Free, CryptoNAS que son sistema especializados en la gestión de almacenamiento. (existen varios, es cosa de investigar)

Si desean invertir en un servidor NAS ya es otra cosa, hay equipos robustos que incluso pueden usar tarjetas iSCSI dando la oportunidad de crear volúmenes virtuales en tus servidores como si fueran internos y a altas velocidades.

1 me gusta

No olvidemos la Nube, sin comprar infraestructura (o al menos no tan cara) y con costos bajos para respaldos que no se ocupan de manera continua (como es el caso de los backups).

de echo ese proyecto tiene en mente el jefe desde hace un año pero no encuentra la manera para poder ponerlo en marcha, he consultado varios proveedores de almacenamiento en internet entre ellos mega el espacio total requerido seria de 1 TB o 2 TB aprox para mantener 2 copias del servidor completo

Puedes revisarlo con Azure o Amazon. Es dificil conseguir los Partners por que estos te quieren vender la marca que les deja mas utilidad, pero si encuentras uno, veras que es muy sencillo, podrias hacer pruebas con el mes gratis que ofrecen ambas marcas.

1 me gusta