ShinichiYao 发表于 2019-7-24 08:55

分析一下这次的群晖NAS勒索攻击

攻击模式
首先攻击对象基本就是开了quickconnect的用户,因为quickconnect的账户可以解析通就说明这个IP一定是用的群晖系统,这样可以有针对性的执行攻击代码,攻击方式有两种,一种是SSH方式,另一种是网页方式,以上两种都是通过弱口令爆破,前提是用户把对应端口映射到公网上,文件的加密方式和PC不同,由于NAS的处理器性能限制,攻击者选择只加密小文件,大文件通过替换文件头的方式使文件不可用,这样可以有效加快攻击代码执行速度。

对应方式
如果没有群晖全家桶的需求尽量关闭quickconnect,如果quickconnect是刚需,那一定不要把SSH和网页的5000端口映射到公网上,而且不要使用和quickconnect名一致的账号,不要使用第三方脚本强制打开管理员账户,限制密码错误尝试次数,最安全的方式是通过V*P#N(验证方式推荐证书)连回NAS,然后一切操作等同于内网操作,公网只开放V*P#N的端口。

oceanstar 发表于 2019-7-24 09:53

对于NAS,从来不建议暴露到公网。
我个人建议是在路由器开启**,需要访问NAS的时候通过**连接家里网络然后再访问NAS

tankren 发表于 2019-7-24 10:32

换端口在路由器端NAT比较好

zerogazer 发表于 2019-7-24 14:45

NAS开个SS服务,手机上用Surge,在外面访问家里的服务和在家里几乎没有区别

xf22cn 发表于 2019-7-24 23:46

坛子里面是不是有很多人中招呀?一般家用,都不会在外网上开放端口。

t4520 发表于 2019-7-25 09:02

赶紧看了一下自已的SSH设置情况

t4520 发表于 2019-7-25 09:05

你的签名站让我找到了组织

reload 发表于 2019-7-25 10:39

吓得我半夜起床把网线拔了,检查了一下计划任务。

xenomaya 发表于 2019-7-25 16:35

我的是全站ssl证书只开443端口,只允许https访问

254327902 发表于 2019-8-10 07:58


一大早起来群晖被攻击
幸亏之前看新闻做了预防   关闭SHH TL开启2次验证 强密码登录N次BAN IP这些操作

然后看着他一直刷烦给默认的 HTTP HTTPS端口号改掉 就不刷了

现在应该是安全了吧 大佬们

furst28 发表于 2019-8-11 20:44

公网动态域名+端口,经路由器转发,目前没有发现问题。

wxy8866 发表于 2019-9-1 18:11

怕什么,买白裙不就是方便么,quickconnect和域名转发多方便。暴力破解,呵呵,来弄吧。

jcspy 发表于 2019-9-9 16:11

wxy8866 发表于 2019-9-1 18:11
怕什么,买白裙不就是方便么,quickconnect和域名转发多方便。暴力破解,呵呵,来弄吧。 ...

有quickconnect为什么还要域名转发?感觉不是一样的嘛,你们手机备份照片到群晖nas用什么软件?
页: [1]
查看完整版本: 分析一下这次的群晖NAS勒索攻击