NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

2022-09-10 15:55:20 126点赞 695收藏 45评论

追加修改(2022-09-17 18:29:15):
补充: 1、遗漏一项:在群晖桌面右上角有个人形图案——个人设置——二次验证,下载app:synology secure signin,扫码绑定后,能有效保证账户安全。 2、尝试了下评论中某个老哥说的,在自动封锁里面设置成错误一次就给封掉,从早上到晚上基本上每一分钟封一个,晚上以后就没有发起攻击,第二天早上来了几个,从此就安静了。 其他方法后续我测试后再跟大家分享。

前言

光阴荏苒,转眼搞机也多年了,入坑NAS已经一年多了。上文也有说道笔者有一台变种蜗牛C已经稳定运行一年多了,折腾了半天其实真正的需求也只是备份一下照片和少量工作资料而已,网上下载点4K电影。本来想折腾下jellyfin硬解,最终还是忍住了:你真的有功夫看吗?不知道何时起,这些折腾的玩意儿,不管是电脑、游戏、电影啥的,都是装好不用、安好不玩、下好不看,总有一种索然无味的空虚感。

但是

但是

但是

这一切都没影响到我的仓鼠综合征!

借图借图

不知道有多少朋友玩过潜行者STALKER这款游戏,每次都会搜刮完每一个NPC,每一个藏物点,每一个箱子,有时候一些没用的手枪弹也舍不得丢,所以德校(主角)时常背着2吨的rpg在特异区狂奔,可谓站在切尔诺贝利之巅的男人。所以,下载了一堆的4K电影电视剧,包括一些很多年前的香港电影,无损音乐等等,塞满硬盘

借图借图

最近由于疫情,笔者人在家中坐、码从天上来,被赋了黄码,于是立即按照防疫规定进行核酸检测,也终于变绿码了。正值欢送黄码之际,突然收到邮件里提示有ip地址尝试登录NAS被封禁,难道有人垂涎我的学习资料?

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

为什么

虽然一年以前也遇到过零星的不明登录请求,但是这一次显然更猛(当然比各位大佬比就是小儿科了),感觉像是在暴力爆破的感觉

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客


一是 IP满天飞,带你领略世界的变换。一分钟前还在享受马德里的不可思议,下一分钟就在韩国吃泡菜,当然也少不了回国,简直了!

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

二是尝试登录频次较高,基本上每分钟一次。

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

三是每个IP基本只尝试一次,只有少数IP超过次数被系统封禁。目前,五天内系统也只封了三个IP。

四是非常执着,登录NAS看日志,什么,连续五天内尝试记录达到近4000次!可以看到上图,前4页基本上全是登录记录。

归根结底还是因为将主机暴露于公网上。

笔者所使用的是联通宽带,当时笔者刚从移动转网到联通,弱弱的问了一句装机师傅有没有公网IP,他很自豪的说我们都是公网,颇有种“切,没见识,你原来用的是移动大内网吧”的意味。有了公网就好多了,跟着教程,一步一步完成域名解析,SSL,端口映射等等,用起来也非常爽。

但是福兮祸之所倚,始终免不了被他人窥探的风险,虽然我的资料真不值钱,就一点家人的照片,torrent啥的我真的100%完全不知道度娘可以找到。

怎么办

为了隐私的安全,还是不能束手就擒了,参考了gxnas大佬博客的文章,在此鸣谢:

一是立即停用黑裙的admin账户,使用重新建立的管理员账户登录。攻击者会尝试登录admin、root之类的常见账户(我这次遇到的就是一直登陆admin),所以禁用admin是非常必要的。而简单改动的自建管理员账户名基本上很难碰出来。

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

二是立即停用SSH和telnet,并修改端口。SSH常用来连接NAS,在打人脸识别补丁、查核显驱动等等场景都能用上,默认端口是22,在控制面板里关闭两项功能,默认端口可以自定义一个。

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

三是关闭不必要的端口映射。这里以再用的爱快为例(顺带说一句爱快的流控真的不错),在网络设置-端口映射里,把不需要的端口转发停用或者删除。这里之前折腾时设置了很多转发,KMS这种没啥用的就关掉吧。

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

四是设置账户保护。这是群晖自带的防护功能,可以根据需求设置,笔者设置的就是3600分钟之内错误三次就锁定。同时,在gxnas大佬的主页有一张excel表,在更新安全中心公布的恶意IP,也可导入封禁。

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

五是保证所有账户密码为复杂密码。admin和自建管理员用户密码最好设置大小写、数字、字符混合的密码,最好是十位数以上,同时密码中不要保留身份证号码、手机号、常用密码、NAS用户名等信息,这样能大幅降低被爆破的概率。网上借了一张图,展示了密码长度和字符种类所对应的破解时间,不一定准,但是复杂密码比123456、abcdefg、qwerty这些难破解是一定的。

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

六是设置邮件通知。笔者自己使用QQ邮箱作为发件邮箱,因为配置方便,一条短信就可以获取授权码;日常常用邮箱必须重置授权码,所有终端都必须一个个换密码,很麻烦。

操作很简单,在QQ邮箱-设置-账户-POP3……服务这里,按提示获取授权码。在群晖-通知设置中,填入收件人、发件人QQ邮箱、授权码即可。其他邮箱设置方式差不多,但是个别邮箱可能会遇到填SMTP端口问题,新浪好像是465,其他的具体度娘。

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

NAS瞎折腾:学习资料危机之欢送黄码,喜迎黑客

总结

总的来说,在互联网时代,将设备放在公网上虽然很方便(尤其是黑裙没有QC),可以更完整体验NAS功能,但还是有一定风险的。匹夫无罪,怀璧其罪,总有人怀疑你“怀璧”,抑或单纯想盗取资料勒索你,一颗一颗扔来“爆破弹”。所以,一定要保持充分谨慎,关注设备日志和通知,设好防火墙,重要资料多做备份,敏感信息单独存放,基本上也不会有大问题。

鉴于我在网络安全、linux上“一滴水”都没有,更不用说“半桶水响叮当”,在设置的时候也站在巨人的肩膀上,参考了一众大佬、网友的做法。不妥之处,敬请指正。

总之,祝大家的“学习资料”安全、搞机愉快!祝大家中秋佳节团圆美满!

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

展开 收起
45评论

  • 精彩
  • 最新
  • 你可以试试endlessh,这是个ssh honeypot,假装成ssh服务,尝试登录会得到不停的乱码,只有自行退出才能断开。对于用脚本扫端口的挺有用的 [龇牙]

    校验提示文案

    提交
    老哥稳,回头试试看,谢谢

    校验提示文案

    提交
    收起所有回复
  • 网警:你接着说吧……

    校验提示文案

    提交
    警察蜀黍,真的是学外语^_^

    校验提示文案

    提交
    收起所有回复
  • 刚试了一下,gxnas大佬的博客怎么上不去了呢

    校验提示文案

    提交
    可以的哦,你再试试呢

    校验提示文案

    提交
    可以了,感谢!

    校验提示文案

    提交
    收起所有回复
  • Stalker我玩过,很不错,几部都不错。我的nas现在就是个下载鸡🐔

    校验提示文案

    提交
    现在这款游戏新的mod还不错哦

    校验提示文案

    提交
    收起所有回复
  • 我的群晖最近也总是受到攻击,也是admin账户(虽然我早就停用admin了),同样也是全球各地的ip,我怀疑咱俩的是同一波

    校验提示文案

    提交
    是的,很执着的试,其实真没啥重要资料

    校验提示文案

    提交
    收起所有回复
  • 不要偷懒把 设置群晖的内网ip全部端口转发,这个我之前偷懒一天20个恶意扫描我的公网ip。
    大家最好,用那个端口转发那个端口,比如用5000转发5000,8000转发8000.....

    校验提示文案

    提交
    这是个好主意,我之前只改了部分

    校验提示文案

    提交
    收起所有回复
  • 我都是只要一次登录错误,直接封ip

    校验提示文案

    提交
    狠人,坚决不给自己输错的机会!

    校验提示文案

    提交
    自己的IP设成白名单啊

    校验提示文案

    提交
    收起所有回复
  • 可以用docker搭建v2,只暴露v2端口,每次使用连上v2使用就很安全

    校验提示文案

    提交
    回头试试,谢谢您!

    校验提示文案

    提交
    哥们可以再给几个关键词吗?不知道v2是啥,搜v2搜不出相关的教程

    校验提示文案

    提交
    收起所有回复
  • 你这个问题省dsm升级到7.0就解决了。
    一是默认停用root账户了,二是upnp把5000等端口映射到五位数以上了。当然我推荐用vpn。

    校验提示文案

    提交
  • 其实别把自己的DSM端口映射成常见端口就行,你直接映射成5000,三天两头就有人尝试尝试穷举。其他端口也类似,映射成不常见的高端口号,杜绝所有非必要端口映射出去,尤物是SSH。

    校验提示文案

    提交
    9394也隔三岔五有人掃 ***

    校验提示文案

    提交
    收起所有回复
  • 不要直接暴露公网,什么nps什么fpr这些都不适用于私人内网的。这两种工具的目的是为了内网的对公服务器穿透用的,你一个对私服务的,使用虚拟专用网工具搭建内网穿透服务。

    校验提示文案

    提交
  • 經常有 我的解決方法是限次封禁IP和谷歌二次驗證登入 但不定時的來是直徑影響到NAS的休眠 也直接影響到我的電費…

    校验提示文案

    提交
  • wireguard你值得拥有,linus大神强烈推荐

    校验提示文案

    提交
  • 去看看
    密码:h7cb
    看了看原始文章,我补充一点

    校验提示文案

    提交
    这是什么ip

    校验提示文案

    提交
    h7cb

    校验提示文案

    提交
    收起所有回复
  • ***口令问题只是一方面,黑群晖没升级版本漏洞,有些动作还会影响硬盘休眠

    校验提示文案

    提交
  • 我用fail2ban

    校验提示文案

    提交
  • 太麻烦了,其实参考企业的解决方案就可以,只开放一个γРñ端口,所有其他服务都通过这个端口进入内网访问,既安全又简洁

    校验提示文案

    提交
    没错,我也是推荐这个方案

    校验提示文案

    提交
    收起所有回复
  • 互联网没有隐私

    校验提示文案

    提交
  • 感谢楼主分享

    校验提示文案

    提交
  • 只开5001,然后开动态验证码+防暴力破解,目前还没问题

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
相关好价
最新文章 热门文章
695
扫一下,分享更方便,购买更轻松