在过去的几周里,每个星期一早上 6:30 到 7:45 之间,在持续不到一秒的突发事件中,我的 Ubuntu 14.04.5 LTS 文件服务器会记录来自 smbd 的一系列错误。
../source3/param/loadparm.c:3259(process_usershare_file)
process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. Permission denied
process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. No such file or directory
这重复并q.exe
更改为q.dll
、q.lnk
、q.cmd
、q.bat
、q.com
和q.pif
。
该目录/var/lib/samba/usershares
是空的。
不规则的时间戳表明这些错误不是源自服务器本身的 cron 作业。
后缀表明它们与 Windows 相关。
每周一次的稳定时间使得恶意行为不太可能发生。
那么是什么原因导致的呢?是否有其他主机试图运行Windows Defender的在挂载点上?(文件服务器的 /etc/samba/smb.conf 条目之一是 [q]
)更直接地说:
- 我能否从一开始就防止这些错误的发生?
- 我可以安全地忽略这些错误吗(通过使用 logcheck 过滤它们)?
答案1
grep process_usershare_file /var/log/samba/*
仅在一个特定于主机的文件中发现此类行/var/log/samba/log.stupidWin7Host
。该主机正在安装该 [q] 共享,并在该周的那个时间运行 Microsoft Security Essentials。