Мне стало интересно, с какого компьютера они ко мне попали, и я захотел посмотреть логи самбы, чтобы увидеть там заветный IP адрес зомби-машины, но логи эти были скудны и неинформативны.
После получасового секса с конфигами самбы, на свет появилось элегантное решение. Итак:
dude@ubuntu:~$ sudo nano /etc/samba/smb.conf
....в конце создаем и настраиваем ресурс
[incoming]
writable = yes
locking = no
path = /home/dude/smbincoming
public = yes
browseable = yes
only guest = yes
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:failure = none
full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath
full_audit:facility = local5
full_audit:priority = notice
Дальше перезапускаем самбу:
dude@ubuntu:~$ sudo service samba restart
Теперь можно ждать, когда вирусы начнут закидываться в наш расшаренный каталог (кстати, не забываем дать ему права 0777). После того, как это случится, читаем лог (например к нам прилетел вирус с именем omсstc.exe):
dude@ubuntu:~$ cat /var/log/syslog | grep smbd_audit | grep omcstc | less