我在我的笔记本电脑上用EDGE连接使用Ubuntu。 我的局域网上没有电脑。
第一次发生这种情况是巧合,当我离开办公室后在我的笔记本电脑上共享的文件夹,发现它感染。 之后,我试图重现这个问题,每次发生这种情况:
如果我与samba共享一个文件夹和访客读取+写入(777)权限,经过一段时间后(变化,有时几个小时,有时甚至更多),我开始看到奇怪的文件,如下所示:
-r-xr – r– 1没人nogroup 0 2010-08-19 23:19 ctf
-rw-r – r– 1没有人nogroup 337103 2004-08-04 00:10 dnpdwh.exe
-r-xr – r– 1没有人nogroup 0 2010-08-20 05:45 khx
-r-xr – r– 1没人nogroup 0 2010-08-19 20:14 khy
-rw-r – r– 1没有人nogroup 596628 2008-04-14 22:01 mzbxsv.exe
-rw-r – r– 1 nobody nogroup 510302 2004-08-04 19:50 uxnpfo.exe
我总是可以删除它们,但是它们不断popup,我不知道它们来自哪里,甚至不知道为什么。
[编辑]:问题是桑巴聆听公共知识产权,然后与777我正在邀请我的系统,谁启动了,虽然它是窗户,从而病毒下降。 通过修改sambaconfiguration修复为:
interfaces = 127.0.0.0/8 eth0 bind interfaces only = yes 在
/etc/samba/smb.conf
其次是
/etc/init.d/smbd restart
问题在/var/log/samba/log.IP_HERE中的日志条目中显而易见
Samba使用nobody和nogroup来写公共文件中的文件也是显而易见的。
MMM我几件事我会推荐给你:
寻找奇怪进程的迹象,用chkrootkit( http://www.chkrootkit.org )
用另外一台机器上的nmap做一个端口扫描,以确保没有任何边界是开放的,或者你有其他的安全。
检查你的防火墙规则,如果你看到这个规则对于外人来说过于宽泛,就做一些改变
validation你的samba conf,并且如果你不与其他人分享数据,用你已知的ips来限制你的samba conf,这样可以防止外部人员使用它。
不知道这是否会给你一个问题,但你也可以设置桑巴使用密码来访问/创build数据,这是假设文件是由第三方创build,而不是在自己的系统中,但然后检查是否你的系统已经被认为是最好的了。