很久以前，我系的CRF（管理计算机资源的）来找过我，说我机子被黑了。我观察之后没啥症状，就问他们为啥那么说。 他们拿出来一个单子，说你机子往外发可疑的包，只有被黑了才发这种包。 我看了一眼，貌似我的机子在广播SNMP包。我觉得这事情也不是那么奇怪，毕竟一堆程序依赖snmp库，但是他们觉得有问题。 于是我在防火墙加了个规则，说如果有这种包就记录一下并且扔掉。其他还干了很多事情，例如换私钥之类，总之很麻烦。之后，他们就不来找我了…… 系统里的确偶尔会记录下这种包的发送记录。那时候尝试看了一眼，没看出为啥，也就没有管。 过了很久之后，一天我看着这些记录，觉得很烦躁，想着干脆研究清楚为啥会发这些破包。 首先，那些个记录里记录了发包者的UID。在我的机子上，记录的UID是colord的UID。 colord是啥呢？可以参见http://www.freedesktop.org/software/colord/intro.html。基本上是个管理色彩配置的东西，如果你不是特别关心你颜色显示得是否准确，其实有没有都无所谓。 colord发SNMP包还是很难让人理解。ldd看一眼，发现colord并没有链接libnetsnmp，net-snmp也不是他的依赖。 观察一下colord的依赖，其他貌似都挺无辜，但是有个可选依赖是sane。我机子上恰好也装了sane。 sane是啥呢？参见http://www.sane-project.org/，Scanner Access Now Easy（这Now是硬插进去的吧！），是个管扫描仪的东西。 sane倒是依赖net-snmp，所以多半是它干的好事。 之后把colord和sane代码扒下来看一眼，大概知道是怎么回事情了。 说colord有个sane插件，嘛大概扫描仪也需要色彩配置。这个插件会启动一个叫colord-sane的程序，这个程序链接到了libsane。sane有个插件叫magicolor，管理Konika Minolta的一个系列的扫描仪。 colord因为某些原因要更新设备列表，于是调进那个插件。插件启动colord-sane，导致sane也让他的插件们更新设备列表。那个magicolor系列扫描仪估计比较高级，能够联网。magicolor插件更新设备列表就去群发SNMP包，在本地网上找这个扫描仪。这个包被CRF看见了…… 其实也怪那个SNMP请求范围太广。他发的SNMP包基本上就是让本地所有的SNMP设备向他报告自己是啥设备，有啥功能之类。这看上去当然挺危险…… 最后说这个过程是怎么触发的。在开始打记录之后，我发现当我插拔手机/平板的时候，那个记录会一起出现。这种事情很容易联想到UDEV，sane和colord其实都装了UDEV规则，而这里引起问题的是colord的规则。那个规则说，只要USB设备插入/拔出，并且有gphoto支持，就给colord发个通知。Android的手机/平板当然在这个范围，于是引发了一系列事件，最后SNMP包就发出去了…… 总体现象是你插拔手机会发SNMP包，谁知道里面有这么一个过程…… 如果有个工具，能够告诉他触发条件和结果，问他中间的因果关系，倒是会方便不少。好像也不是搞不出来，不过貌似没啥学术价值……