еженедельный выброс ошибок smbd process_usershare_file: откуда?

581
Camille Goudeseune

В течение последних нескольких недель, каждое утро понедельника между 6:30 и 7:45, в пакете продолжительностью менее секунды мой файловый сервер Ubuntu 14.04.5 LTS регистрирует поток ошибок от smbd.

../source3/param/loadparm.c:3259(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. Permission denied process_usershare_file: stat of /var/lib/samba/usershares/q.exe failed. No such file or directory

Это повторяется с q.exeизменено на q.dll, q.lnk, q.cmd, q.bat, q.com, и q.pif.

Каталог /var/lib/samba/usersharesпуст.

Нерегулярные временные метки предполагают, что эти ошибки не происходят из-за задания cron на самом сервере.

Суффиксы предполагают, что они относятся к Windows.

Устойчивое время один раз в неделю делает злобу маловероятной.

Так что их вызывает? Не пытается ли другой хост запустить Защитник Windows в точке монтирования? (Одна из записей /etc/samba/smb.conf файлсервера в это [q] .) Более непосредственно:

  • Могу ли я предотвратить возникновение этих ошибок?
  • Могу ли я безопасно игнорировать эти ошибки (отфильтровывая их с помощью logcheck)?
1
Можете ли вы отслеживать сетевой трафик во время трафика, чтобы определить, является ли хост в сети виновником? Возможно, существует узел с вредоносным ПО, который сканирует все сетевые ресурсы SMB в поисках определенных файлов? Dave Lucre 7 лет назад 1
Размышляя о том, как это сделать в следующий понедельник, ваша заметка породила идею, которая сработала. `grep process_usershare_file / var / log / samba / *` нашел такие строки только в одном специфичном для хоста файле, `/ var / log / samba / log.stupidWin7Host`. Этот хост монтировал этот общий ресурс [q] и запускал Microsoft Security Essentials в это время недели. Виновник найден. Так что я ответил на мою собственную награду. Какой сейчас этикет? Camille Goudeseune 7 лет назад 0
Рад, что вы нашли виновника. Я думаю, что на данный момент вы должны представить ответ на свой вопрос с тем, как вы решили его, а затем пометить его как правильный ответ. Я хотел бы знать, какая конфигурация на хосте Win7 вызвала такое поведение. Dave Lucre 7 лет назад 1
MSE, достаточно справедливо :) Рад, что помог! Dave Lucre 7 лет назад 0

1 ответ на вопрос

0
Camille Goudeseune

grep process_usershare_file /var/log/samba/*нашел такие строки только в одном специфичном для хоста файле /var/log/samba/log.stupidWin7Host. Этот хост монтировал этот общий ресурс [q] и запускал Microsoft Security Essentials в это время недели.

Похожие вопросы