每周爆发 smbd process_usershare_file 错误:源自何处?

每周爆发 smbd process_usershare_file 错误:源自何处?

在过去的几周里,每个星期一早上 6:30 到 7:45 之间,在持续不到一秒的突发事件中,我的 Ubuntu 14.04.5 LTS 文件服务器会记录来自 smbd 的一系列错误。

../source3/param/loadparm.c:3259(process_usershare_file)
process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. Permission denied
process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. No such file or directory

这重复并q.exe更改为q.dllq.lnkq.cmdq.batq.comq.pif

该目录/var/lib/samba/usershares是空的。

不规则的时间戳表明这些错误不是源自服务器本身的 cron 作业。

后缀表明它们与 Windows 相关。

每周一次的稳定时间使得恶意行为不太可能发生。

那么是什么原因导致的呢?是否有其他主机试图运行Windows Defender的在挂载点上?(文件服务器的 /etc/samba/smb.conf 条目之一 [q])更直接地说:

  • 我能否从一开始就防止这些错误的发生?
  • 我可以安全地忽略这些错误吗(通过使用 logcheck 过滤它们)?

答案1

grep process_usershare_file /var/log/samba/*仅在一个特定于主机的文件中发现此类行/var/log/samba/log.stupidWin7Host。该主机正在安装该 [q] 共享,并在该周的那个时间运行 Microsoft Security Essentials。

相关内容