一觉睡醒发现自己NAS被勒索了…

海边的卡夫卡

坛里发生过好几起了勒索案了吧

事实证明，数据安全RAID几都不好使，还是得靠冷备

254327902

反正每次不是这种帖子就是raid安全那种帖子 总有一群喊着网盘网盘的。。。动不动几十TB电影数据的那是网盘能hold住的事吗。。。姑且不说网盘空间和收费了  就说现在国内平均到人头的上传速度  那是考虑网盘的事吗？？   就我这250M小水管上传都不敢说大话（都更不用说普通家宽那些30M~100M的管子了）  真搞不懂动不动就网盘的怎么那么随心所欲  只是个人见解 并没有任何指点江山和驳斥的意思  不喜勿喷 理性讨论可以

就这你跟我上网盘？

就这你跟我说上网盘？

flshlion

fly9902 发表于 2022-9-17 18:40
bitlocker无感加密，是物理防范，就是防止数据脱离操作系统后，被打开，举个例子，你bitlocker加密的数据 ...

所以说回来原来的问题，我的整个硬盘Bitlocker加密之后一直在锁定状态（偶尔有需要才输入密码打开）下挂在电脑上，这种情况下电脑中了勒索病毒这个硬盘的数据是不是安全的？

tedsun

RedMomoe 发表于 2022-9-17 14:20
关键是禁用默认的管理员账号！自己另外建立一个管理员账号！

我也做了，但是。。。

houyuzhou

254327902 发表于 2022-9-17 19:45
反正每次不是这种帖子就是raid安全那种帖子 总有一群喊着网盘网盘的。。。动不动几十TB电影数据的那是网盘 ...

基本就是电脑里有两块3t硬盘的人 教nas用户什么是数据安全。

raid没用，冷备就行 多备份就行。
我tm一百多t数据，多备份个鬼啊。

254327902

houyuzhou 发表于 2022-9-17 20:20
基本就是电脑里有两块3t硬盘的人 教nas用户什么是数据安全。

raid没用，冷备就行 多备份就行。

感觉也是。。。完全提都不提数据量 就直接网盘三连。。。

冠希羊羊羊

linmukai 发表于 2022-9-17 14:07
把3389改了个端口暴露在公网，我觉得这个是最主要的原因，以后大家nas要远程的话最好还是用V**或者其他方 ...

好口怕。。。

liansishen

前段时间就不用rdp了，自己搭了个RustDesk用

testcb00

就说别把管理端口暴露在公网
这些管理服务和NAS/HOST自带的服务应该放在内网 经由加密隧道连接 防止Zero Day Attack

tankren

强密码又不能防漏洞，小偷翻窗 你大门加100把锁也没用

lanceres

我自己的挂pt的windows server的seedbox也中过勒索病毒，因为自己是小白，没有做任何措施，seedbox ip也是公网，于是就挂了，不过勒索病毒中了之后，种子客户端竟然强制校验重新下载了，所以导致一段时间我都没发现seedbox中毒了，直到有一天登进去才发现。后来又被服务商警告说，我的机器被劫持向内网发起每秒10000次攻击，被迫紧急重装了系统，装了eset 企业版和火绒，也换了强密码，不过看楼上的似乎还要换掉远程端口，还以为我装了杀毒软件就万事大吉了。

lanceres

另外，为了确保文件安全，自己花了大价钱直接买了dropbox business advanced，无限容量，也算是给自己的文件买个心安了，后来在v2ex找到了合租的，就分担了一些，然后又有坛友开车谷歌的workspace无限容量，也上车了，目前dropbox和google workspace双备份我16T的文档资料等，同时外置双硬盘冷备份，还算心安

2ndWeapon

端口暴漏在公网必须设置真正的强密码才行，我都是设置十几位随机字符。

LeonChen

一直都在意NAS放在公网上的安全问题，今年的隔离管控搞得我忍不住打了个群晖申请，预算一万以内，这周恰巧又赶上西工大曝光，就被信息技术部毙了，理由就是不安全，静下心来反省自己不仅越俎代庖，还扣扣索索，起码得整个10万起步，对照着前些日子安全保护费的帖子，好像是深信服付费了的，群晖+深信服+信息部，这样一对比，个人NAS不就是皇帝的新衣嘛，我纯粹吃饱了撑着操心这个，还是每天带固态优盘吧，【纯感慨非引战】

BetaHT

装的杀软是什么

acafeiqq

攻击进来用户名不可能知道吧 密码用户名都靠猜？

Dzzz

2ndWeapon 发表于 2022-9-17 22:10
端口暴漏在公网必须设置真正的强密码才行，我都是设置十几位随机字符。

你不会觉得黑客是用破解密码的方式进来的吧

Dzzz

acafeiqq 发表于 2022-9-18 00:27
攻击进来用户名不可能知道吧 密码用户名都靠猜？

是利用协议漏洞，家里门是上锁了，但墙上有漏洞

qjj2857

既然你确认是rdp导致的，上系统审核日志吧。应该能看到大批量的fail和少数的成功。logon fail事件号没记错的话是4625

诛仙

linmukai 发表于 2022-9-17 14:20
主要都是影视资源的整理什么的，比较费心费力，不过还是清空重来吧，谢谢老哥指点 ...

能理解你这种痛苦，收集和整理影视资源实在是太费心费力了。。。
能找到一版自己喜欢的电视剧和电影还真的会有很大的满足感，何况是50T多的资源说没就没了，那真的是晴天霹雳啊。

acafeiqq

flshlion 发表于 2022-9-17 20:06
所以说回来原来的问题，我的整个硬盘Bitlocker加密之后一直在锁定状态（偶尔有需要才输入密码打开）下挂 ...

那肯定安全的 锁定状态没法读写。

acafeiqq

Dzzz 发表于 2022-9-18 02:13
是利用协议漏洞，家里门是上锁了，但墙上有漏洞

最新的微软补丁不是都修复漏洞了么，难道还有？

幽缭

看一下系统日志，可能是社工。
我的开发机也是和lz差不多一样，rdp改端口暴露公网。密码是24位随机生成的强密码。
有一次正在用的时候被踢出，知道被入侵了。查看系统日志，发现黑客在一周内疯狂尝试各种用户名，最终尝试出了“dev”正确用户名，入侵成功。
复盘想了下，随机密码用在线随机密码网站生成的，最有可能就是在那里泄露了密码和IP。

acafeiqq

幽缭 发表于 2022-9-18 07:20
看一下系统日志，可能是社工。
我的开发机也是和lz差不多一样，rdp改端口暴露公网。密码是24位随机生成的强 ...

我刚才看了日志，也有很多Administrator用户名进行尝试。
但是它猜到了你的用户名dev，密码怎么来的。

ntuchenxy

改3389没用的，新端口可以扫描出来，最有效的还是禁用admin账号，自己建个名字长点的，然后强密码，经常打补丁，很难被入侵

acafeiqq

ntuchenxy 发表于 2022-9-18 08:29
改3389没用的，新端口可以扫描出来，最有效的还是禁用admin账号，自己建个名字长点的，然后强密码，经常打 ...

没错 改端口可以少一点攻击，但是看日志尝试的用户名都是 administrator，admin，user，user1，user2这样的...
希望楼主能分析一下日志给我们个线索。

fut888

重要数据还是得离线保存，视频等pt蓝种时再补吧

幽缭

acafeiqq 发表于 2022-9-18 08:03
我刚才看了日志，也有很多Administrator用户名进行尝试。
但是它猜到了你的用户名dev，密码怎么来的。 ...

密码是使用 在线随机生成密码网站 生成的
估计网站记录了ip和生成的密码。