在过去的几周里,每个星期一早上 6:30 到 7:45 之间,在持续不到一秒的突发事件中,我的 Ubuntu 14.04.5 LTS 文件服务器会记录来自 smbd 的一系列错误。
../source3/param/loadparm.c:3259(process_usershare_file)
process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. Permission denied
process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. No such file or directory
这重复并q.exe更改为q.dll、q.lnk、q.cmd、q.bat、q.com和q.pif。
该目录/var/lib/samba/usershares是空的。
不规则的时间戳表明这些错误不是源自服务器本身的 cron 作业。
后缀表明它们与 Windows 相关。
每周一次的稳定时间使得恶意行为不太可能发生。
那么是什么原因导致的呢?是否有其他主机试图运行Windows Defender的在挂载点上?(文件服务器的 /etc/samba/smb.conf 条目之一是 [q])更直接地说:
- 我能否从一开始就防止这些错误的发生?
- 我可以安全地忽略这些错误吗(通过使用 logcheck 过滤它们)?
答案1
grep process_usershare_file /var/log/samba/*仅在一个特定于主机的文件中发现此类行/var/log/samba/log.stupidWin7Host。该主机正在安装该 [q] 共享,并在该周的那个时间运行 Microsoft Security Essentials。