我在笔记本电脑上使用 ubuntu,并连接 EDGE。我的 LAN 上没有电脑。
第一次发生这种情况纯属巧合,当时我在笔记本电脑上留下了一个 After Office 共享文件夹,结果发现它被感染了。此后,我尝试重现该问题,但每次发生这种情况时:
如果我使用 samba 和 Guest Read+Write (777) 权限共享一个文件夹,经过一段时间(有所不同,有时是几个小时,有时更长)后,我开始看到如下所示的奇怪文件:
-r-xr--r-- 1 nobody nogroup 0 2010-08-19 23:19 ctf
-rw-r--r-- 1 无人无组 337103 2004-08-04 00:10 dnpdwh.exe
-r-xr--r-- 1 无人无组 0 2010-08-20 05:45 khx
-r-xr--r-- 1 无人 nogroup 0 2010-08-19 20:14 khy
-rw-r--r-- 1 无人 nogroup 596628 2008-04-14 22:01 mzbxsv.exe
-rw-r--r-- 1 无人无组 510302 2004-08-04 19:50 uxnpfo.exe
我总是可以删除它们,但它们却不断弹出,我不知道它们从哪里来,甚至不知道为什么。
[编辑]:问题是 Samba 在公共 IP 上监听,然后使用 777,我邀请未启动的用户访问我的系统,他们以为我的系统是 Windows,因此会受到病毒的攻击。通过将 Samba 配置修改为以下内容可解决问题:
interfaces = 127.0.0.0/8 eth0
bind interfaces only = yes
在
/etc/samba/smb.conf
其次是
/etc/init.d/smbd restart
从 /var/log/samba/log.IP_HERE 中的日志条目可以明显看出问题
这也很明显,因为 Samba 使用 nobody 和 nogroup 在可公开写共享中写入文件。
答案1
MMM我向你推荐以下几件事:
使用 chkrootkit 查找奇怪进程的迹象(http://www.chkrootkit.org)
从另一台机器上使用 nmap 进行端口扫描,以确保没有任何存储设备打开或者其他任何东西都是安全的。
检查防火墙规则,如果发现对外部人员来说太宽泛,请进行更改
验证你的 samba 配置并通过已知的 ips 对其进行限制(如果你不与任何人共享数据),这样可以阻止任何外部人员使用它。
不确定这对您来说是否会是个问题,但您也可以设置 samba 使用密码来访问/创建数据,当然假设文件是由第三方创建的而不是在您自己的系统中创建的,但随后检查您的系统是否已被 rootkited 如上所述将是最好的。