发现一台arch机子上 etc目录下有很多 Desktop_1.ini (samba开放写权限所制)

axlrose

这台机子平时很少用，整个硬盘就只有arch + freebsd , 今天发现 /etc目录这么多不正常的文件，GOOGLE一查，是病毒，但这玩意应该是WIN感染的才对
不过我平时是开着 samba的，莫非是通过这个传的？

以下是 find, rm 的部分内容 (没加sudo的提示)

1. 
   
2. rm: 无法删除"./mysql/Desktop_1.ini": 权限不够
   
3. rm: 无法删除"./pacman.d/Desktop_1.ini": 权限不够
   
4. rm: 无法删除"./dbus-1/session.d/Desktop_1.ini": 权限不够
   
5. rm: 无法删除"./dbus-1/system.d/Desktop_1.ini": 权限不够
   
6. rm: 无法删除"./dbus-1/Desktop_1.ini": 权限不够
   
7. rm: 无法删除"./network.d/examples/Desktop_1.ini": 权限不够
   
8. rm: 无法删除"./network.d/interfaces/Desktop_1.ini": 权限不够
   
9. rm: 无法删除"./network.d/Desktop_1.ini": 权限不够
   
10. rm: 无法删除"./network.d/hooks/Desktop_1.ini": 权限不够
    
11. rm: 无法删除"./mercurial-server/remote-hgrc.d/Desktop_1.ini": 权限不够
    
12. rm: 无法删除"./mercurial-server/Desktop_1.ini": 权限不够
    
13. rm: 无法删除"./mercurial-server/keys/root/Desktop_1.ini": 权限不够
    
14. rm: 无法删除"./mercurial-server/keys/users/Desktop_1.ini": 权限不够
    
15. rm: 无法删除"./mercurial-server/keys/Desktop_1.ini": 权限不够
    

复制代码

补充:  重新  find / 发现其他地方也一大堆的 Desktop_1.ini

alpha.gu

你打开看一下文件的内容，不就知道是哪家的东西了？
没有执行权限的话，反正也危害不到系统的。

jarryson

怎么会有权限写etc目录的？

qiang_liu8183

Post by jarryson;2074815
怎么会有权限写etc目录的？

不按套路出牌的结果

axlrose

不只是 etc, 其他很多目录也有，像 /var/cache/pacman/pkg 下面也有
我的samba打开的，不过根本没开放  /etc,  /var/cache/pacman/pkg 这些目录

http://www.eoeandroid.com/redirect.php?tid=966&goto=lastpost  android项目中，出现Desktop_1.ini类似文件？？

发现这个用户用的ubuntu也遇到过

就算有win的话，也根本没法该问ARCH的那些目录才对

jiangkero

/etc的权限被修改了？ 不然的话普通用户不可能会有写文件的权限的

zhou3345

是不是你的samba的权限问题引起的？

axlrose

重新清理掉清释一看， / 也共享出来了，原因多半是在这里，莫非网上邻居有人中毒了，然后连同把旁边的机子给毒了？

试着该问 该机的 /etc ，我的WIN能随便向它写东东，看来还是弄个 readonly才行
   writable = no

2. [global]
4.    workgroup = MYGROUP
6. display charset=utf8
7. unix charset=utf8
8. dos charset=utf8
10.    server string = Samba Server %v
12.    printcap name = cups
13.    load printers = yes
15.    printing = cups
17.    log file = /var/log/samba/log.%m
19.    max log size = 50
23.   map to guest = bad user
25.    security = user
27.   encrypt passwords = yes
28. socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
29.   
30.    dns proxy = no
35. [homes]
36.    comment = Home Directories
37.    browseable = no
38.    writable = yes
40. [printers]
41.    comment = All Printers
42.    path = /var/spool/samba
43.    browseable = no
44.    guest ok = no
45.    writable = no
46.    printable = yes
48. [print$]
49.    path = /var/lib/samba/printers
50.    browseable = yes
51.    read only = yes
52.    write list = @adm root
53.    guest ok = yes
55. [root]
56.    path = /
57.    public = yes
58.    only guest = yes
59.    writable = yes
60.    printable = no
62. [arch]
63.    path = /home/arch
64.    public = yes
65.    #only guest = yes
66.    #valid users = arch axlrose zlb
67.    writable = yes
68.    printable = no
70. [mnt]
71.    path = /mnt
72.    public = yes
73.    #only guest = yes
74.    writable = yes
75. [lvdata]
76.    path = /home/lvdata
77.    public = yes
78.    #only guest = yes
79.    writable = yes

复制代码

至尊宝

肯定是给了CIFS共享目录写权限，LAN里其他Windows里的病毒自行蠕动至你的目录下，可惜，你的不是Windows，哈哈