wöchentlicher Fehler bei smbd process_usershare_file-Fehlern: von wo?

642
Camille Goudeseune

In den letzten Wochen, jeden Montagmorgen zwischen etwa 6:30 und 7:45, in einem Zeitraum von weniger als einer Sekunde, protokolliert mein Ubuntu 14.04.5 LTS-Dateiserver eine Reihe von Fehlern von smbd.

../source3/param/loadparm.c:3259(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. Permission denied process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. No such file or directory 

Dies wiederholt sich mit q.exeverändert q.dll, q.lnk, q.cmd, q.bat, q.com, und q.pif.

Das Verzeichnis /var/lib/samba/usersharesist leer.

Die unregelmäßigen Zeitstempel legen nahe, dass diese Fehler nicht von einem Cron-Job auf dem Server selbst stammen.

Die Suffixe legen nahe, dass sie sich auf Windows beziehen.

Das regelmäßige wöchentliche Timing macht Bösartigkeit unwahrscheinlich.

Also, was verursacht sie? Versucht ein anderer Host, Windows Defender auf einem Bereitstellungspunkt auszuführen ? (Einer der Einträge /etc/samba/smb.conf des Dateiservers ist [q] .) Direkter :

  • Kann ich verhindern, dass diese Fehler überhaupt auftreten?
  • Kann ich diese Fehler sicher ignorieren (durch Filtern mit logcheck)?
1
Können Sie den Netzwerkverkehr während des Stoßes des Datenverkehrs überwachen, um festzustellen, ob ein Host im Netzwerk der Täter ist? Vielleicht gibt es einen Host mit Malware, der alle SMB-Freigaben im Netzwerk nach bestimmten Dateien durchsucht? Dave Lucre vor 7 Jahren 1
Als Sie darüber nachdachten, wie dies am kommenden Montag geschehen soll, löste Ihre Notiz hier eine Idee aus, die funktioniert hat. `grep process_usershare_file / var / log / samba / *` hat solche Zeilen nur in einer hostspezifischen Datei gefunden, `/ var / log / samba / log.stupidWin7Host`. Dieser Host installierte die Freigabe [q] und führte zu dieser Woche Microsoft Security Essentials aus. Täter gefunden. Also habe ich meine eigene Prämie beantwortet. Was ist jetzt die Etikette? Camille Goudeseune vor 7 Jahren 0
Ich bin froh, dass du den Täter gefunden hast. Ich denke, zu diesem Zeitpunkt sollten Sie eine Antwort auf Ihre Frage mit der Frage, wie Sie sie gelöst haben, senden und sie dann als die richtige Antwort markieren. Ich bin gespannt, welche Konfiguration auf dem Win7-Host dieses Verhalten verursacht hat. Dave Lucre vor 7 Jahren 1
MSE, fair genug :) Ich bin froh, geholfen zu haben! Dave Lucre vor 7 Jahren 0

1 Antwort auf die Frage

0
Camille Goudeseune

grep process_usershare_file /var/log/samba/*Diese Zeilen wurden nur in einer hostspezifischen Datei gefunden /var/log/samba/log.stupidWin7Host. Dieser Host installierte die Freigabe [q] und führte zu dieser Woche Microsoft Security Essentials aus.