Chiphell - 分享与交流用户体验

标题: NAS不停的有外部IP尝试用管理员账户登录 [打印本页]

作者: taotao0210 时间: 2022-10-15 09:14
标题: NAS不停的有外部IP尝试用管理员账户登录
本帖最后由 taotao0210 于 2022-10-15 09:52 编辑

这两天NAS不停的有外部IP尝试用管理员账户登录，每天收到上千次邮件提醒，Admin账户我已经关闭，风险是没有的，但是不停的有事件提醒，除去关闭所有登录的事件提醒外，请问有什么好的解决方案吗？
(, 下载次数: 148)

而且这些访问的机器估计是被感染了病毒的机器，我尝试过其中几个IP地址，有群晖的，也有OMV的等等

比如，第一个IP就是一台DS218
(, 下载次数: 137)

作者: Wurenji 时间: 2022-10-15 09:18
最稳的方式是关掉公网访问，改成ZeroTier/Wireguard之类的软件翻回自己局域网
或者改IPv6访问也能降低被扫的概率

作者: taotao0210 时间: 2022-10-15 09:49

Wurenji 发表于 2022-10-15 09:18
最稳的方式是关掉公网访问，改成ZeroTier/Wireguard之类的软件翻回自己局域网
或者改IPv6访问也能降低被扫 ...

ZeroTier之前搞过，但是感觉不稳定，有时候连接挺好，有时候又很慢

IPV6现在也不行，虽然可以设置DDNS，但是很多时候客户端拿不到IPTV6地址

我去学习下试试Wireguard

作者: jop 时间: 2022-10-15 09:53
不要映射端口到公网，在外面的时候先VXN再登录

作者: taotao0210 时间: 2022-10-15 09:55

jop 发表于 2022-10-15 09:53
不要映射端口到公网，在外面的时候先VXN再登录

有没有类似的教程或帖子可以参考下？

作者: Van64 时间: 2022-10-15 09:59
换一个端口，别转发到5000

作者: jop 时间: 2022-10-15 10:04

taotao0210 发表于 2022-10-15 09:55
有没有类似的教程或帖子可以参考下？

让路由器做VXN，这个百度可以找到教程。不同路由器配置不同，没有通用教程。

作者: wzadww 时间: 2022-10-15 10:09
我这两天也出现了，临时改成5分钟内登陆失败一次就ban ip

作者: wzadww 时间: 2022-10-15 10:21
试了一下攻击的ip，全部都是http 5000端口下的dsm6.x，全部都是肉鸡把。

作者: brucelee1126 时间: 2022-10-15 10:27
禁用admin做的对，同时加固密码，开两步验证，关ssh,关upnp，开防火墙

作者: 聚乙醇 时间: 2022-10-15 10:30
不是被定点攻击的话稍微做一下防护就行。
1.更改所有默认端口
2.密码错误N次ban IP
3.secure signin二次验证

作者: voandrew 时间: 2022-10-15 10:33
5000内部端口转5xxxx外部端口，用高位端口就行。

作者: sliverworkspace 时间: 2022-10-15 10:38
不要使用默认端口，不要使用默认端口。

作者: Attack_on_Pig 时间: 2022-10-15 10:57
我的解决方案是用华硕路由器设置Open**，然后外网通过**先接入内网再访问，好处是他们不会攻击其他东西了，坏处是。。。如果Open**被砸开了我内网就全部曝光了

作者: houyuzhou 时间: 2022-10-15 11:03
最近勒索贴很多，吓得我不敢碰公网了。。

作者: BetaHT 时间: 2022-10-15 12:19
5次失败封锁ip

作者: taotao0210 时间: 2022-10-15 12:34

wzadww 发表于 2022-10-15 10:09
我这两天也出现了，临时改成5分钟内登陆失败一次就ban ip

但是还是很多邮件提示，因为在不停的换IP地址，很烦人

不过貌似现在停止了。。。

作者: taotao0210 时间: 2022-10-15 12:36

sliverworkspace 发表于 2022-10-15 10:38
不要使用默认端口，不要使用默认端口。

恩，我等会改端口去

作者: nw_liqi 时间: 2022-10-15 12:46
别开端口给外网，真的不安全

作者: xsdianeht 时间: 2022-10-15 12:52
防火墙开白名单，只允许国内ip

作者: hcym 时间: 2022-10-15 12:54
基本默认值，没有外网服务的需求
光猫路由电脑什么的都是

作者: 无敌曹大帅 时间: 2022-10-15 12:55
借地问一下，有什么好的家用防火墙不～～～其实ikuai里面有个连接记录，数据上传记录就行了，然后就是有个限制外国ip访问内部特定端口就完美了。

作者: cyberspace13 时间: 2022-10-15 14:23
wireguard 之类的，走隧道回家吧

作者: cmz118 时间: 2022-10-15 14:32
我这两天也提示了所以改为5分钟错3次直接BAN

作者: wokaoxiuxiu 时间: 2022-10-15 16:00

cmz118 发表于 2022-10-15 14:32
我这两天也提示了所以改为5分钟错3次直接BAN

请问下怎么改？

作者: Rodríguez 时间: 2022-10-15 16:14

wokaoxiuxiu 发表于 2022-10-15 16:00
请问下怎么改？

(, 下载次数: 160)

作者: wokaoxiuxiu 时间: 2022-10-15 16:29

Rodríguez 发表于 2022-10-15 16:14

收到，谢谢

作者: gaoyi124 时间: 2022-10-15 17:26
这很正常,暴露公网中就会出现被人探测到,然后就用尝试密码的方式进行登陆,我一般是设置密码策略,10分钟内5次错误就banip

作者: hayse 时间: 2022-10-15 17:42
可怕，这么多品牌肉鸡nas。。。

作者: lubin980012 时间: 2022-10-17 13:07
关掉邮件提醒不就完了

作者: zhgna 时间: 2022-10-17 13:33
以前nas每天总有一堆4625，也没太当回事，后来看到论坛童鞋被勒索，才开始有点紧张，从此关掉外网端口，改RDP为L2TP访问内网，外加了个ipban ，nas的4625从此消失了。

作者: shine360 时间: 2022-10-17 16:31
家里的NAS指定内网IP访问，毕竟你都是回家才折腾，所有外网IP都洗洗睡了

作者: tyy474 时间: 2022-10-17 16:49
没有陌生设备接入，已经很久没这样的提示了，好怀念啊

作者: fiberhf 时间: 2022-10-17 16:52
直接连公网的话管理员帐号肯定是要禁掉的，建个其它名称的管理员

作者: c2h6o 时间: 2022-10-17 17:00
端口也要改下，不要用默认5000端口，强密码，不用ADMIN用户名

作者: joty 时间: 2022-10-17 17:23
改个账户名

作者: 港城钢铁侠 时间: 2022-10-17 17:36
一样，之前我的webdav服务器也总是有机器尝试登录，解决方案是用Nginx反向代理，Nginx那边写点访问、请求频率限制的规则。

作者: ccchoco 时间: 2022-10-20 04:35

BetaHT 发表于 2022-10-15 12:19
5次失败封锁ip

就给一次机会，最多了

作者: humalu 时间: 2022-10-20 11:22
本帖最后由 humalu 于 2022-10-20 11:28 编辑

iOS 的Drive 一定要用5000/5001端口怎么解？
一改掉就连不上了。在域名后面加端口不能用。
我是用DDNS，不用quickconnect的。

作者: CNxiaofeng 时间: 2022-10-20 11:33
提示: 作者被禁止或删除内容自动屏蔽

作者: roy2006 时间: 2022-10-20 11:33
最好还是不要暴露在公网，不是用户名密码或者ban暴力登录ip那么简单。

如果NAS系统出了新的0day漏洞，会有脚本针对该厂商或者型号的NAS全网直接攻击
而且现在各种扫描引擎很多，国外的撒旦啊，国内的钟馗之眼啊，不断的都在扫公网做好标记和记录，什么设备，型号，版本
一个版本出bug，黑客马上直接把这些暴露出来的服务搞一遍

作者: hlc1134 时间: 2022-10-20 15:43
本帖最后由 hlc1134 于 2022-10-20 15:45 编辑

roy2006 发表于 2022-10-20 11:33
最好还是不要暴露在公网，不是用户名密码或者ban暴力登录ip那么简单。

如果NAS系统出了新的0day漏洞，会有 ...

正解。多复杂的密码都没用的，人家黑你都不用密码。
改端口放5-10年前还好用，现在早就不好使了。过时的信息就不要再传播了。

想要保证相对安全，只有两条路可选：
1. V**类的隧道。比如wireguard，是开源和审计过的代码。协议简洁，0day少。
2. 请一个网络安全公司，买他们家的（商用）产品。

没有第三条路。除非你的群晖只放点无关紧要的东西，你不在乎黑不黑。

作者: zxcvsam9 时间: 2022-10-20 16:13
最暴力的方法可以直接指定装置mac地址

作者: 重庆森林 时间: 2022-10-20 16:46
开二次验证

作者: sw_yp 时间: 2022-10-25 17:41
多数时候在外都不会连NAS，要用的时候都是使用**

作者: dawnhawk 时间: 2022-10-25 18:32
装个stunnel：https://www.stunnel.org/downloads.html

作者: nineapple 时间: 2022-10-25 18:39
群晖有个黑名单，可以导入一下

其次是不要把5000端口开放到外网

最后还是用威屁恩连回家吧

作者: 聚乙醇 时间: 2022-10-25 19:08

hlc1134 发表于 2022-10-20 15:43
正解。多复杂的密码都没用的，人家黑你都不用密码。
改端口放5-10年前还好用，现在早就不好使了。过时的 ...

怎么就误导了？扫3389用windows漏洞，扫5000用群晖的漏洞，9999这个端口扫出来你准备怎么攻击？是否大范围可用？

作者: hlc1134 时间: 2022-10-26 12:58
本帖最后由 hlc1134 于 2022-10-26 13:00 编辑

聚乙醇发表于 2022-10-25 19:08
怎么就误导了？扫3389用windows漏洞，扫5000用群晖的漏洞，9999这个端口扫出来你准备怎么攻击？是否大范 ...

实践出真知
你要不相信也没办法
不过从你说的理由来看，你对网络安全的认识还是很肤浅的

作者: 聚乙醇 时间: 2022-10-26 13:10

hlc1134 发表于 2022-10-26 12:58
实践出真知
你要不相信也没办法
不过从你说的理由来看，你对网络安全的认识还是很肤浅的 ...

对于定向攻击当然没用。
我想讨教，默认端口与更改端口被攻击的概率相同？？

作者: hlc1134 时间: 2022-10-26 14:36

聚乙醇发表于 2022-10-26 13:10
对于定向攻击当然没用。
我想讨教，默认端口与更改端口被攻击的概率相同？？ ...

基本一致。现在扫端口，都是全范围扫。

当然这不算搞着玩的菜鸟hacker。

作者: dudurpg 时间: 2022-10-27 08:13
ban ip,我错一次就ban，ban了几千个了

作者: 刹之那 时间: 2022-10-27 09:15
也别散播焦虑，错几次ban ip就行了，至于0day漏洞，放心吧，一半黑客都不会用这玩意儿攻击个人，又没什么收益……自己经常更新补丁屁事没有

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)