群晖疑似受到勒索软件攻击：批量修改文件和重命名【群晖折腾记】

高子

目前已经在软路由里关闭了群晖的5000和5001端口转发，应该就是只能内网使用了。

研究后发现早上8:28手动拍的快照，其实是由Atcive Insight发起的，应该是检测到疑似攻击，自动触发帮全盘做了快照，包括用户没有设置拍快照的文件夹


RT，这个是什么情况，怎么排查？

8:28 由 user手动给全盘拍了个快照
8:29就收到了邮件提醒

--------------------------------------------------------

imyz

没用过群晖，不过上面也提示你了，首先断开互联网、以及内网防止进一步扩大。

建议你先不要关机，另找一台安装有最新杀软的电脑，建议用 Kaspersky，单独用这台电脑联群晖共享扫一下各文件夹看是否有啥问题。若真有问题，就算共享文件中的毒能清干净，但群晖系统本身是否内藏不敢确定的话，建议先将能用的文件通过有最新杀软的电脑悉数备份出来，再重做群晖

rk9999

这是开公网未加密就能放问么，别告诉我加个密码就躺平了

kkfnaidon

root用户就非常可疑了

gundamgp04d

现在群晖不都升级了。停用admin账户，用户名密码输入错5次直接封禁IP，关SSH，咋登你系统的？
不过只要群晖服务开了，扫描尝试登录的不停。

zdcps

黑群还是白裙，黑群可能固件里就带后门

553720tv

gundamgp04d 发表于 2023-10-13 11:22
现在群晖不都升级了。停用admin账户，用户名密码输入错5次直接封禁IP，关SSH，咋登你系统的？
不过只要群晖 ...

真要整活，都是用的漏洞，还不一定是公开的漏洞！穷举成功率太低了！

pp0pp

我只能说，即开即用，即用即关。

ljdooo

吓死了，看着好吓人

mkkkno1

快照恢复下就行了

高子

mkkkno1 发表于 2023-10-13 13:54
快照恢复下就行了

我现在都没发现它改了我哪个文件，系统提示的文件，我都看不到。暂时关闭了5000和5001的端口转发，内网使用了。还没发现损失点

aikgogo

我有公网，但是我也不用公网，装了tailscale组大局域网，这样更安全一点。

高子

rk9999 发表于 2023-10-13 11:05
这是开公网未加密就能放问么，别告诉我加个密码就躺平了

加密了，域名也开启了https，安全防护里也没有任何密码破解的提示。猜测可能是那个用户，泄漏了密码。目前开启了2部验证，关闭了所有的端口转发。

chzzzy

别直接暴露在公网上，走wireguard或者ss回去

高子

chzzzy 发表于 2023-10-13 14:20
别直接暴露在公网上，走wireguard或者ss回去

用的Zerotier，但是ABB和Drive开了2个端口。

zqqlee

这个有点吓人啊，赶紧备份数据。

CloverX

两步验证要开。。。。

phliar

用杀软全盘扫一遍，最好多用几个品牌，卡巴，eset这类的，有毒的都清掉，当然不排除清掉一些没有签名的程序文件。全部开二次验证，但是需要设置恢复邮箱。不然恢复麻烦

gundamgp04d

553720tv 发表于 2023-10-13 12:42
真要整活，都是用的漏洞，还不一定是公开的漏洞！穷举成功率太低了！

呃，我开了群晖，还有公网IP，防火墙那能看到一堆尝试登录的IP，尝试SSH的22端口，大部分还都开着，，你说能不能搞点事情。