高子 发表于 2023-10-13 09:50

群晖疑似受到勒索软件攻击:批量修改文件和重命名【群晖折腾记】

本帖最后由 高子 于 2024-7-14 12:34 编辑

目前已经在软路由里关闭了群晖的5000和5001端口转发,应该就是只能内网使用了。

研究后发现早上8:28手动拍的快照,其实是由Atcive Insight发起的,应该是检测到疑似攻击,自动触发帮全盘做了快照,包括用户没有设置拍快照的文件夹


RT,这个是什么情况,怎么排查?

8:28 由 user手动给全盘拍了个快照
8:29就收到了邮件提醒

--------------------------------------------------------

imyz 发表于 2023-10-13 10:04

没用过群晖,不过上面也提示你了,首先断开互联网、以及内网防止进一步扩大。

建议你先不要关机,另找一台安装有最新杀软的电脑,建议用 Kaspersky,单独用这台电脑联群晖共享扫一下各文件夹看是否有啥问题。若真有问题,就算共享文件中的毒能清干净,但群晖系统本身是否内藏不敢确定的话,建议先将能用的文件通过有最新杀软的电脑悉数备份出来,再重做群晖 [生病]

rk9999 发表于 2023-10-13 11:05

这是开公网未加密就能放问么[偷笑],别告诉我加个密码就躺平了[偷笑]

kkfnaidon 发表于 2023-10-13 11:18

root用户就非常可疑了

gundamgp04d 发表于 2023-10-13 11:22

现在群晖不都升级了。停用admin账户,用户名密码输入错5次直接封禁IP,关SSH,咋登你系统的?
不过只要群晖服务开了,扫描尝试登录的不停。

zdcps 发表于 2023-10-13 11:33

黑群还是白裙,黑群可能固件里就带后门

553720tv 发表于 2023-10-13 12:42

gundamgp04d 发表于 2023-10-13 11:22
现在群晖不都升级了。停用admin账户,用户名密码输入错5次直接封禁IP,关SSH,咋登你系统的?
不过只要群晖 ...

真要整活,都是用的漏洞,还不一定是公开的漏洞!穷举成功率太低了!

pp0pp 发表于 2023-10-13 12:46

我只能说,即开即用,即用即关。[困惑]

ljdooo 发表于 2023-10-13 12:56

吓死了,看着好吓人

mkkkno1 发表于 2023-10-13 13:54

快照恢复下就行了

高子 发表于 2023-10-13 14:17

mkkkno1 发表于 2023-10-13 13:54
快照恢复下就行了

我现在都没发现它改了我哪个文件,系统提示的文件,我都看不到。暂时关闭了5000和5001的端口转发,内网使用了。还没发现损失点

aikgogo 发表于 2023-10-13 14:19

我有公网,但是我也不用公网,装了tailscale组大局域网,这样更安全一点。

高子 发表于 2023-10-13 14:19

rk9999 发表于 2023-10-13 11:05
这是开公网未加密就能放问么,别告诉我加个密码就躺平了

加密了,域名也开启了https,安全防护里也没有任何密码破解的提示。猜测可能是那个用户,泄漏了密码。目前开启了2部验证,关闭了所有的端口转发。

chzzzy 发表于 2023-10-13 14:20

别直接暴露在公网上,走wireguard或者ss回去

高子 发表于 2023-10-13 14:21

chzzzy 发表于 2023-10-13 14:20
别直接暴露在公网上,走wireguard或者ss回去

用的Zerotier,但是ABB和Drive开了2个端口。

zqqlee 发表于 2023-10-13 14:47

这个有点吓人啊,赶紧备份数据。

CloverX 发表于 2023-10-13 15:03

两步验证要开。。。。

phliar 发表于 2023-10-13 15:13

用杀软全盘扫一遍,最好多用几个品牌,卡巴,eset这类的,有毒的都清掉,当然不排除清掉一些没有签名的程序文件。全部开二次验证,但是需要设置恢复邮箱。不然恢复麻烦

gundamgp04d 发表于 2023-10-16 09:12

553720tv 发表于 2023-10-13 12:42
真要整活,都是用的漏洞,还不一定是公开的漏洞!穷举成功率太低了!

呃,我开了群晖,还有公网IP,防火墙那能看到一堆尝试登录的IP,尝试SSH的22端口,大部分还都开着,[狂笑],你说能不能搞点事情。
页: [1]
查看完整版本: 群晖疑似受到勒索软件攻击:批量修改文件和重命名【群晖折腾记】