再次填坑，Nas端口转发后被攻击了......

我一度以为黑客不会攻击Nas，就这点性能攻破了能干啥嘛，直到今天看到日志提醒：

DSM的admin明明默认禁掉了，黑客无疑。于是第一个IP封锁送给他了：

有过报道说黑客可能会攻击一些Nas设备当矿机，或加密你的资料并索取费用。

这里要感谢值友的提醒，让我有心理准备并提前做了一些安全措施， 看来端口转发确实不如官方quickconnect安全，不过速度快啊，为了能够继续用下去，遇到问题解决问题吧。

黑客是如何入侵群晖等NAS系统的呢？

360安全团队通过对中招NAS主机进行日志分析之后发现，中招NAS上存在大量的桌面口令爆破记录和SSH口令爆破记录， 并且在文件被加密前有通过桌面登录成功的记录。

看来，端口和密码安全是特别需要防范的两个地方。

端口怎么处理

你已经开通了外网并做了端口转发，就意味着别人同样可以通过IP+端口号打开你的DSM登录页面。

黑客自然不可能事先知道目标NAS主机的公网IP地址，但是他可以通过批量扫描端口的方式来获取目标，国内宽带运营商的公网IP地址段，网上是随意查得到的（详细到城市），

所以，人家随意选取一段IP地址范围，通过端口检测工具就可以从中找出开通了外网功能的NAS主机，以群晖为例，把目标端口设定为5000、5001（群晖NAS的远程桌面端口），很容易扫描到。

解决办法：

1）不要再转发默认端口了（内网端口不用改，只改外网端口）。

端口的数量非常多，从0到65535有几万个，换个端口就可以增加扫描难度，默认端口绝对是靶子。

另外提醒，如果将内网端口5001转发至外网端口1234，DS file和DS video等软件的登录设置就要有所更改，地址栏要填入你的域名+“:1234”，因为更改的端口号是5001，对应的是https协议端口，所以要打开“HTTPS”连接开关，此时就能正常登录了。

2）SSH功能，用不着就关掉吧（默认是关闭的）。

3）能用Https尽量选择这种，Https至少能做到你访问时不被中间人攻击。

4）及时更新最新系统。假设是NAS系统的原因出现漏洞，那就非常危险了，所以，要养成及时更新系统的好习惯。

账户密码安全

1）不使用admin，创建自己的管理员账号，群晖应该是注意到这点了，6.0版本默认就把admin禁用了。

2）密码改的复杂一些，增加破解难度。

3）设置邮件微信通知，最起码第一时间收到了通知，斗不过黑客，直接远程关机主动断网也是个办法。

4）群晖开启二次身份认证（最有效）。

方法参考值友的文章，群晖NAS邮件通知及两步验证登录详解

二次身份认证最安全，毕竟黑客是搞不到你的手机动态码的，基本不存在被黑的可能性了吧。 必须设置邮箱，除了手机丢失的情况，平时手机不在身边，点遗失手机按钮，邮箱也能收到动态码，仍然可以登录。

设置群晖安全性

前面提了及时更新DSM系统，群晖肯定是做了一些安全性的工作的，所以我参考群晖的wiki，做了几个设置：

1）不允许DSM被iFrame嵌入。

2）只是启用了防火墙，还没具体设置内容。

3）PPPoE和局域网都启用DoS防护。

4）各种勾选，安全设置是5分钟输错10次密码锁IP，并且不勾选启动封锁过期，永久封IP保险。

总结

希望做了这些设置，能让我的Nas免受攻击；抛砖引玉，希望对同样爱好Nas的你有点用处。

另外，据说魔都对DDNS的Nas进行封停网络，真要是这样严苛估计就只能用quickconnect了，

但，在没被断网前，秉承着不撞南墙不回头的想法还是继续用端口转发。

参考资料

1）群友:群晖NAS邮件通知及两步验证登录详解

2）群晖官方:如何增加 Synology NAS 的安全性

3）群晖官方:保卫网络安全