一觉睡醒发现自己NAS被勒索了…

linmukai

环境：Windows Server 2022，装了杀软，打了补丁，强密码。
本来想着这样应该万无一失了，结果今天起来发现nas的登录密码被改了，所有文件后缀都变成了devos，50t的文件全部付诸东流。大家还是得小心点呀
起来收拾收拾转TrueNAS了


被加密的文件，3点被打的

黑客留的信


更新：
1、看到楼下很多兄弟说要禁用Administrator账号，这个我是禁用的。
2、还有说强密码不够强，我使用的强密码带有大小写，特殊字符，数字，11位数，我个人认为是很保险的。
3、杀软是Windows defender，这方面太懒了 防火墙也是windows自己的防火墙。
4、NAS内跑的所有服务都有带SSL证书，感觉也不是密码泄露或者什么的问题。
5、个人认为是漏洞或者什么奇怪的方式跑进来的，发此贴也是想让大家引以为戒，以后尽量使用隧道来访问家中服务

ts02147823

不哭不哭 眼泪是珍珠

hantty

这么可怕的吗...楼主能不能复盘分享一下是做了哪些或者没做哪些导致被攻击了

linmukai

hantty 发表于 2022-9-17 14:04
这么可怕的吗...楼主能不能复盘分享一下是做了哪些或者没做哪些导致被攻击了 ...

把3389改了个端口暴露在公网，我觉得这个是最主要的原因，以后大家nas要远程的话最好还是用V**或者其他方式连到家里再使用nas

linmukai

ts02147823 发表于 2022-9-17 14:00
不哭不哭 眼泪是珍珠

谢谢兄弟

vvvsrx

堡垒机的重要性

ftsteven

nas还是不要暴露在公网才安全

linxijun

节哀，资料重要不试试拿去数据恢复试试看，我身边有人试过勒索后也可以恢复，但是比没被勒索情况下恢复概率降低大半，前提是没有被多次重复写入数据情况下，因为被勒索了的情况下都是读取大于写入的，个人见解

wun_008

多年前我的atom 机器装 2003也被黑客改了密码？ 3389必须改 密码必须复杂

zhgna

吓人的，赶紧上路由器关掉3389

linmukai

linxijun 发表于 2022-9-17 14:13
节哀，资料重要不试试拿去数据恢复试试看，我身边有人试过勒索后也可以恢复，但是比没被勒索情况下恢复概率 ...

主要都是影视资源的整理什么的，比较费心费力，不过还是清空重来吧，谢谢老哥指点

linmukai

wun_008 发表于 2022-9-17 14:17
多年前我的atom 机器装 2003也被黑客改了密码？ 3389必须改 密码必须复杂

我也改了端口，但是依旧被扫出来了。这次吃教训了，远程桌面的端口不能暴露在公网上面

linxijun

linmukai 发表于 2022-9-17 14:20
主要都是影视资源的整理什么的，比较费心费力，不过还是清空重来吧，谢谢老哥指点 ...

不推荐diy的nas，真的，还是搞品牌的，品牌的价格虽贵不少，但是最起码安全更新是不用愁的，资料是通过不少时间积攒的，丢了可惜，也浪费了不少青春不是

zhuifeng88

我比较好奇的点在强密码是不是真正意义上的强密码，有没有可能是虽然含有各种字符，但都是一些破解字典中常见的组合

uuyyhhjj

linmukai 发表于 2022-9-17 14:21
我也改了端口，但是依旧被扫出来了。这次吃教训了，远程桌面的端口不能暴露在公网上面 ...

改端口有什么用哦，勒索病毒通常不会删系统日志，打开日志里的安全看看是不是一大片登录记录

mkkkno1

我自己的还是公司的服务器和nas都是没有联互联网的。

eneiku

早就开始用酸酸乳连回家了，只打开酸酸乳一个端口

iamyangyi

我想知道是啥 杀软

iamyangyi

那就用隧道连回家 当大局域网 安全

落寞之心

我这种外网链接需求很小的，一般都是用向日葵连接的风险大吗？还有就是路由器开了一个端口转发给PT下载

bychiphexll

用酸酸乳+端口转发 远程桌面
已经使用5年多了

chainofhonor

暴露在公网的设备防火墙一定要严格，只给指定的端口，基本上就没什么大问题了  你这个肯定是防火墙没弄好，黑客并不是通过远程桌面黑的

fly9902

服务器，我一般建议禁用administrator账号，重新建立一个属于admin组的账号，这样被攻破的概率大大降低，包括ROS路由也是这样

我的方案是：

禁用admin，新建个用户名，大小写特殊字符和数字密码，开远程桌面，用zerotier虚拟局域网登陆，路由不转发端口，并drop单向进入路由的数据，就怕这个幺蛾子，至今很稳

fly9902

RedMomoe 发表于 2022-9-17 14:19
端口暴露在公网，居然不改用户名和使用强密码？ 默认的administrator账号必须禁用啊。 ...

是啊，好多人安全意识太淡薄了，老是喜欢用admin账号，新建个管理员组的账号很简单，再禁用admin，安全性会提高太多

pp0pp

存储服务器，我都是即开即用，用完就关机。

fly9902

linmukai 发表于 2022-9-17 14:21
我也改了端口，但是依旧被扫出来了。这次吃教训了，远程桌面的端口不能暴露在公网上面 ...

改端口啥用呢，一般你会对公网开发的端口要么网页，要么ssh，要么远程桌面，443，就这几类，虽然名称对不上，但按这些类型去猜就是了

hayse

你的强密码是什么呀，发出来看看，看下日志把。及时更新补丁，防火墙不能关，防护软件装好，禁用默认administrator，用了很久了，没出过事情。

flshlion

Bitlocker加密的备份硬盘应该不怕吧