作者oppoR20 (发情豹纹)
看板Storage_Zone
标题[闲聊] 群晖NAS开始新一波被暴力攻击了吗
时间Tue Oct 11 15:02:55 2022
刚刚打开mail才发现有台nas触发帐户保护机制
打开来log才发现 哇靠
https://i.imgur.com/ftkX9Rj.jpg
一整片的登入失败纪录
看了一下另一台不同位置的nas
https://i.imgur.com/tl5blML.jpg
一样一整片的纪录
https://i.imgur.com/IUKaSLZ.jpg
大概是今天凌晨两点多开始的
https://i.imgur.com/vspccS1.jpg
https://i.imgur.com/mSN0yeK.jpg
两台nas的登入分析
暴力破解的团队很贼
会一直换ip 绕过ip封锁的机制
目前只能先开帐号保护了吧
—
https://i.imgur.com/mNUxQSh.jpg https://i.imgur.com/wv35QXm.jpg
https://i.imgur.com/eVCxfT8.jpg https://i.imgur.com/NGLWeNu.png
https://i.imgur.com/3012P4q.jpg https://i.imgur.com/95eHcHL.jpg
https://i.imgur.com/RhMYfn3.jpg https://i.imgur.com/Botdvow.jpg
https://i.imgur.com/D0d3rBY.jpg https://i.imgur.com/RISyFlT.jpg
https://i.imgur.com/daomuz3.jpg https://i.imgur.com/Gw0vJW5.jpg
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 42.72.223.187 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1665471777.A.4AC.html
1F:→ oldk13 : 你的admin没关掉吗@@ 10/11 15:11
2F:→ oppoR20 : 都有关掉 那是尝试纪录 10/11 15:11
3F:→ fujisawa : 从昨天晚上开始就有大量的DSM登入尝试 最实在的解就 10/11 15:16
4F:→ fujisawa : 是不要把DSM暴露在外网 10/11 15:18
5F:推 chihyu5225 : 问一下,有对外开DAM port吗?有的话是预设port? 10/11 15:21
6F:→ chihyu5225 : 没有的话是否有开放QC登入DSM? 10/11 15:21
7F:→ oppoR20 : 我的只有开443 因为我们只开放443对外 另外也有qc 10/11 15:25
8F:→ oppoR20 : 爬了一下reddit基本上就是扫80/443/5000/5001居多 10/11 15:25
9F:→ oppoR20 : 暂时解是只开台湾跟内网ip 其他都挡 10/11 15:26
10F:→ LuckSK : 我的预设port全改掉 没有碰到类似警告 10/11 15:28
11F:→ fujisawa : 这波目前看起来就是针对HTTP(S)跟DSM预设的Port去暴 10/11 15:30
12F:→ fujisawa : 力破解 QC看起来是没事 10/11 15:31
13F:→ oppoR20 : Reddit那边也有提到应该不是qc问题 10/11 15:36
14F:→ oppoR20 : 只开台湾之後只剩下零星一两次的尝试 如果逼不得已 10/11 15:37
15F:→ oppoR20 : 只能开预设port的人可以试试看只开台湾ip 10/11 15:37
16F:→ oppoR20 : 然後ip封锁的时效拉到一个礼拜 10/11 15:38
17F:→ fujisawa : 应该就是对一大堆IP对预设Port用脚本暴力扫 如果只 10/11 15:39
18F:→ fujisawa : 有443能用 可以用Cloudflare Access吗 10/11 15:40
19F:→ fujisawa : 我是有用Access Tunnels 目前是也没被扫到 10/11 15:42
20F:→ oppoR20 : 有机会来研究一下好了 10/11 15:42
21F:嘘 B0988698088 : dsm是後台console怎麽会开到同时允许多国外网try a 10/11 15:44
22F:→ B0988698088 : ccess= = 你们it部门原本就会多国wfh来管同一台机 10/11 15:44
23F:→ B0988698088 : 器吗 10/11 15:44
24F:→ B0988698088 : 正常router那关就不应该放不同国家走port forwardi 10/11 15:45
25F:→ B0988698088 : ng 来放资料的机器了 10/11 15:45
26F:→ oppoR20 : 这是我自己的nas 我也不是在公司 10/11 15:51
27F:→ hollen9 : 80 443 除非要架对外网页 (Web Station) 不然也别开 10/11 15:59
28F:→ hollen9 : 我 HTTPS 和 HTTP 的 DSM PORT 都改掉也没看到 10/11 16:00
29F:推 Litfal : 除非用预设密码,不然暴力攻击没意义吧 10/11 16:02
30F:→ hollen9 : 还有 DSM 曝露外网 只要开二步骤验证 其实也还好 10/11 16:03
31F:→ hollen9 : 29楼不会没意义喔 暴力破解就是有字典协助在猜密码 10/11 16:03
32F:→ hollen9 : 比如说若你用 MyNas!756 这种密码,很快就会被猜到 10/11 16:04
33F:→ hollen9 : 用完全没意义的英数符号组合才够安全 10/11 16:05
34F:推 chang0206 : DSM直接对外 如果是系统漏洞 根本不鸟你几阶验证啊 10/11 16:05
35F:→ chang0206 : 开个反向代理不好吗? 10/11 16:06
36F:推 Litfal : 对非特定目标用字典攻击也太浪费了,不如多扫几台 10/11 16:06
37F:→ hollen9 : 防系统漏洞我设自动安装安全性更新了 就自己评估 10/11 16:11
38F:推 rick65134 : 现在密码的安全趋势应该是长度大於一切 10/11 16:36
39F:→ oldk13 : 应该是扫预设port,改自订port没遇到 10/11 17:01
40F:→ oppoR20 : 是 所以有改port的人暂时不用担心 10/11 17:02
41F:→ oppoR20 : 不过看起来也是要暴力破解密码而已 10/11 17:02
42F:推 keltt : 有开启两步骤验证吗? 10/12 10:37
43F:推 filiaslayers: 我80跟443有开,但跑的是apache,不是群辉的服务 10/12 10:48
44F:→ filiaslayers: 预设port是一开始就换掉,从来没遇过有人乱试码密 10/12 10:48
45F:推 Anero : 昨天被暴力攻击+1 10/12 11:44
46F:推 comipa : 看到那麽多外国观光客还不想用GeoIP先档起来喔@@ 10/12 18:28
47F:推 skasia886 : 我DSM有对外 但有用nginx设反向代理加白名单 看了一 10/13 08:25
48F:→ skasia886 : 下纪录没被try密码 10/13 08:25
49F:推 ragwing : 二步骤验证开下去没烦恼 10/13 20:13
50F:→ fujisawa : MFA防暴力破解不防漏洞 漏洞威胁大多了 10/13 20:24
51F:→ hollen9 : 不信任原则不会错 但也很不方便 我还是相信群辉可 10/13 21:53
52F:→ hollen9 : 以有效防堵最新漏洞被开采 时时刻刻保持更新应该就 10/13 21:53
53F:→ hollen9 : 够一般个人户了 10/13 21:53
54F:→ hollen9 : 写错零信任 10/13 21:53
55F:推 niverse : 感谢提醒,还好原本就把admin关了 10/14 00:54
56F:推 coldcoldcold: 一直被try 神烦,顺势把admin 停用 XDDD 10/14 11:52
57F:→ oppoR20 : admin被停用还是会被try 10/14 22:42
58F:→ oppoR20 : 如果确定不会用台湾以外ip存取 防火墙建立规则台湾 10/14 22:43
59F:→ oppoR20 : 通行 再一则全部封锁 10/14 22:43
60F:→ oppoR20 : 会少非常多try 10/14 22:43
61F:→ oppoR20 : Ip自动封锁设定10080分钟内尝试3次就封锁 不然依照 10/14 22:44
62F:→ oppoR20 : 以前的制度根本跑不进封锁 因为会一直用不同ip 10/14 22:44
63F:推 coldcoldcold: 後来改掉预设 port 就没被try了 (~ ̄▽ ̄)~ 10/16 22:40