作者oppoR20 (發情豹紋)
看板Storage_Zone
標題[閒聊] 群暉NAS開始新一波被暴力攻擊了嗎
時間Tue Oct 11 15:02:55 2022
剛剛打開mail才發現有台nas觸發帳戶保護機制
打開來log才發現 哇靠
https://i.imgur.com/ftkX9Rj.jpg
一整片的登入失敗紀錄
看了一下另一台不同位置的nas
https://i.imgur.com/tl5blML.jpg
一樣一整片的紀錄
https://i.imgur.com/IUKaSLZ.jpg
大概是今天凌晨兩點多開始的
https://i.imgur.com/vspccS1.jpg
https://i.imgur.com/mSN0yeK.jpg
兩台nas的登入分析
暴力破解的團隊很賊
會一直換ip 繞過ip封鎖的機制
目前只能先開帳號保護了吧
—
https://i.imgur.com/mNUxQSh.jpg https://i.imgur.com/wv35QXm.jpg
https://i.imgur.com/eVCxfT8.jpg https://i.imgur.com/NGLWeNu.png
https://i.imgur.com/3012P4q.jpg https://i.imgur.com/95eHcHL.jpg
https://i.imgur.com/RhMYfn3.jpg https://i.imgur.com/Botdvow.jpg
https://i.imgur.com/D0d3rBY.jpg https://i.imgur.com/RISyFlT.jpg
https://i.imgur.com/daomuz3.jpg https://i.imgur.com/Gw0vJW5.jpg
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.72.223.187 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Storage_Zone/M.1665471777.A.4AC.html
1F:→ oldk13 : 你的admin沒關掉嗎@@ 10/11 15:11
2F:→ oppoR20 : 都有關掉 那是嘗試紀錄 10/11 15:11
3F:→ fujisawa : 從昨天晚上開始就有大量的DSM登入嘗試 最實在的解就 10/11 15:16
4F:→ fujisawa : 是不要把DSM暴露在外網 10/11 15:18
5F:推 chihyu5225 : 問一下,有對外開DAM port嗎?有的話是預設port? 10/11 15:21
6F:→ chihyu5225 : 沒有的話是否有開放QC登入DSM? 10/11 15:21
7F:→ oppoR20 : 我的只有開443 因為我們只開放443對外 另外也有qc 10/11 15:25
8F:→ oppoR20 : 爬了一下reddit基本上就是掃80/443/5000/5001居多 10/11 15:25
9F:→ oppoR20 : 暫時解是只開台灣跟內網ip 其他都擋 10/11 15:26
10F:→ LuckSK : 我的預設port全改掉 沒有碰到類似警告 10/11 15:28
11F:→ fujisawa : 這波目前看起來就是針對HTTP(S)跟DSM預設的Port去暴 10/11 15:30
12F:→ fujisawa : 力破解 QC看起來是沒事 10/11 15:31
13F:→ oppoR20 : Reddit那邊也有提到應該不是qc問題 10/11 15:36
14F:→ oppoR20 : 只開台灣之後只剩下零星一兩次的嘗試 如果逼不得已 10/11 15:37
15F:→ oppoR20 : 只能開預設port的人可以試試看只開台灣ip 10/11 15:37
16F:→ oppoR20 : 然後ip封鎖的時效拉到一個禮拜 10/11 15:38
17F:→ fujisawa : 應該就是對一大堆IP對預設Port用腳本暴力掃 如果只 10/11 15:39
18F:→ fujisawa : 有443能用 可以用Cloudflare Access嗎 10/11 15:40
19F:→ fujisawa : 我是有用Access Tunnels 目前是也沒被掃到 10/11 15:42
20F:→ oppoR20 : 有機會來研究一下好了 10/11 15:42
21F:噓 B0988698088 : dsm是後台console怎麼會開到同時允許多國外網try a 10/11 15:44
22F:→ B0988698088 : ccess= = 你們it部門原本就會多國wfh來管同一台機 10/11 15:44
23F:→ B0988698088 : 器嗎 10/11 15:44
24F:→ B0988698088 : 正常router那關就不應該放不同國家走port forwardi 10/11 15:45
25F:→ B0988698088 : ng 來放資料的機器了 10/11 15:45
26F:→ oppoR20 : 這是我自己的nas 我也不是在公司 10/11 15:51
27F:→ hollen9 : 80 443 除非要架對外網頁 (Web Station) 不然也別開 10/11 15:59
28F:→ hollen9 : 我 HTTPS 和 HTTP 的 DSM PORT 都改掉也沒看到 10/11 16:00
29F:推 Litfal : 除非用預設密碼,不然暴力攻擊沒意義吧 10/11 16:02
30F:→ hollen9 : 還有 DSM 曝露外網 只要開二步驟驗證 其實也還好 10/11 16:03
31F:→ hollen9 : 29樓不會沒意義喔 暴力破解就是有字典協助在猜密碼 10/11 16:03
32F:→ hollen9 : 比如說若你用 MyNas!756 這種密碼,很快就會被猜到 10/11 16:04
33F:→ hollen9 : 用完全沒意義的英數符號組合才夠安全 10/11 16:05
34F:推 chang0206 : DSM直接對外 如果是系統漏洞 根本不鳥你幾階驗證啊 10/11 16:05
35F:→ chang0206 : 開個反向代理不好嗎? 10/11 16:06
36F:推 Litfal : 對非特定目標用字典攻擊也太浪費了,不如多掃幾台 10/11 16:06
37F:→ hollen9 : 防系統漏洞我設自動安裝安全性更新了 就自己評估 10/11 16:11
38F:推 rick65134 : 現在密碼的安全趨勢應該是長度大於一切 10/11 16:36
39F:→ oldk13 : 應該是掃預設port,改自訂port沒遇到 10/11 17:01
40F:→ oppoR20 : 是 所以有改port的人暫時不用擔心 10/11 17:02
41F:→ oppoR20 : 不過看起來也是要暴力破解密碼而已 10/11 17:02
42F:推 keltt : 有開啟兩步驟驗證嗎? 10/12 10:37
43F:推 filiaslayers: 我80跟443有開,但跑的是apache,不是群輝的服務 10/12 10:48
44F:→ filiaslayers: 預設port是一開始就換掉,從來沒遇過有人亂試碼密 10/12 10:48
45F:推 Anero : 昨天被暴力攻擊+1 10/12 11:44
46F:推 comipa : 看到那麼多外國觀光客還不想用GeoIP先檔起來喔@@ 10/12 18:28
47F:推 skasia886 : 我DSM有對外 但有用nginx設反向代理加白名單 看了一 10/13 08:25
48F:→ skasia886 : 下紀錄沒被try密碼 10/13 08:25
49F:推 ragwing : 二步驟驗證開下去沒煩惱 10/13 20:13
50F:→ fujisawa : MFA防暴力破解不防漏洞 漏洞威脅大多了 10/13 20:24
51F:→ hollen9 : 不信任原則不會錯 但也很不方便 我還是相信群輝可 10/13 21:53
52F:→ hollen9 : 以有效防堵最新漏洞被開採 時時刻刻保持更新應該就 10/13 21:53
53F:→ hollen9 : 夠一般個人戶了 10/13 21:53
54F:→ hollen9 : 寫錯零信任 10/13 21:53
55F:推 niverse : 感謝提醒,還好原本就把admin關了 10/14 00:54
56F:推 coldcoldcold: 一直被try 神煩,順勢把admin 停用 XDDD 10/14 11:52
57F:→ oppoR20 : admin被停用還是會被try 10/14 22:42
58F:→ oppoR20 : 如果確定不會用台灣以外ip存取 防火牆建立規則台灣 10/14 22:43
59F:→ oppoR20 : 通行 再一則全部封鎖 10/14 22:43
60F:→ oppoR20 : 會少非常多try 10/14 22:43
61F:→ oppoR20 : Ip自動封鎖設定10080分鐘內嘗試3次就封鎖 不然依照 10/14 22:44
62F:→ oppoR20 : 以前的制度根本跑不進封鎖 因為會一直用不同ip 10/14 22:44
63F:推 coldcoldcold: 後來改掉預設 port 就沒被try了 (~ ̄▽ ̄)~ 10/16 22:40