一觉睡醒发现自己NAS被勒索了…

magicwolf · 发表于 2022-9-22 17:27

fly9902 发表于 2022-9-22 11:15
电信大内网180段，华三企业路由，admin采用简单密码还是一样给人家黑了，ssh登陆后把固件删掉了，太坏了 ...

会不会是自己人黑的

superliurui · 发表于 2022-9-22 19:52

发现很多是凌晨时间被黑的，所以干脆夜里关机。

lyf362345 · 发表于 2022-9-22 20:15

家庭内网服务建议还是通过**或者ss这些连接之后再访问，不要直接暴露

yargee · 发表于 2022-9-26 19:43

gboyv 发表于 2022-9-22 09:30
大佬，请教下，这个密码错误ban IP ，是要在哪里设置的。谢谢

wail2ban。你可以参考这个https://cloud.tencent.com/developer/article/1689545。

gboyv · 发表于 2022-9-28 15:42

yargee 发表于 2022-9-26 19:43
wail2ban。你可以参考这个https://cloud.tencent.com/developer/article/1689545。

多谢，看了下，比较折腾。

pkaewwc1 · 发表于 2022-9-28 15:50

单位去年有个存照片的群晖也被黑了，后来找的数据恢复公司基本恢复了了90的内容。

elvba · 发表于 2022-9-29 19:14

心疼楼主，这也是我为什么用 truenas 的原因，就是为了防止勒索病毒和误删数据。
另外即便换成了 truenas，还是要定期用移动硬盘做备份，电影这些都不用备份，还可以重新下载，只备份核心资料就行。

七年不爱起名字 · 发表于 2022-9-29 19:22

我上次也是3389改了端口暴露在公网，中了勒索。后来我就用zerotier连内网了，目前为止再也没有中过勒索

jyjs3993 · 发表于 2022-9-29 19:52

yargee 发表于 2022-9-26 19:43
wail2ban。你可以参考这个https://cloud.tencent.com/developer/article/1689545。

这篇文章好啊，原来是TLS1.0的坑

zhgna · 发表于 2022-9-29 23:12

还是关闭外网RDP端口比较干脆，再装了个免费版ipban，查日志4625已经消失了。

获.JPG

test11 · 发表于 2022-10-3 13:27

不要暴露公网就好。。有什么需求必须开公网呢。。家里上传带宽也是大水管么。
必须要开公网的话，你的所有服务端口都不要使用默认的，管理员的帐号密码只要不是被暴露过的，就算6位数字人家也不会去暴库的，批量抓鸡，爆库耽误时间，出问题的基本全是你不知哪个服务存在可提权的BUG直接获取到管理员权限的。所以对外的端口不要使用默认，很关键。

fly9902 · 发表于 2022-10-3 13:47

火绒防勒索规则用起来啊

楼主的马甲 · 发表于 2022-10-3 16:30

看起来俺怀疑是HK已经有木马潜伏在里面，然后随随便便……

煎饼果子chh · 发表于 2022-11-24 19:07

公司跳板机12位强密码，每分钟10来个4625日志，4年了。 4625 2022-11-24 190222.png

凹凸曼超凹凸 · 发表于 2022-11-24 19:27

本帖最后由凹凸曼超凹凸于 2022-11-24 19:30 编辑

是不是防火墙没弄好？大概率不是远程桌面的锅，你们也太小看微软了，只要系统是最新的有在更新至少比其他协议难n倍。有点写代码常识的都清楚，改不改远程端口对于黑客来说根本没区别，都是用软件全部端口一个个扫的，危险的是没设置防火墙只开放要用的端口，没用到的端口的协议有漏洞但确是开放的被黑进来了

huaxy · 发表于 2022-11-24 19:41

改端口、强密码、IP白名单，这样可以固若金汤！

fkpwolf · 发表于 2022-11-24 19:46

你们都没使用过L2TP之类的么？iPhone都可以连接，不用整什么端口映射之类。

高子 · 发表于 2022-11-24 19:50

linmukai 发表于 2022-9-17 14:07
把3389改了个端口暴露在公网，我觉得这个是最主要的原因，以后大家nas要远程的话最好还是用V**或者其他方 ...

我的3389也被爆破攻击了，还好被火绒拦截了，现在关掉了3389转发，用zerotier大局域网远程了。

BetaHT · 发表于 2022-11-24 19:50

win nas装个360能防勒索病毒。

另外要做好3-2-1备份呀。

pooChai · 发表于 2022-11-24 20:00

flshlion 发表于 2022-9-17 18:07
勒索病毒可以在bitlocker硬盘没打开的情况下访问到里面的数据并再次加密？ ...

文件加密只能用来防止数据被拷贝走后查看里面真实数据，一般都是商业信息设计文档之类，只能使用办公电脑查看阅读，qq传给其他人，是看不到真实信息的，而他这是另一码事，人家根本不care你的数据是啥，直接按一定规则改写了，想要逆向改回来就得打钱了

umatic · 发表于 2022-11-24 20:08

本帖最后由 umatic 于 2022-11-24 20:12 编辑

有没有开ftp，开的话勒索程序会黑进来的。

YsHaNg · 发表于 2022-11-24 21:26

linmukai 发表于 2022-9-17 06:07
把3389改了个端口暴露在公网，我觉得这个是最主要的原因，以后大家nas要远程的话最好还是用V**或者其他方 ...

一直觉得rdp不如ssh安全

fyc858 · 发表于 2022-11-24 21:31

fly9902 发表于 2022-9-17 15:49
服务器，我一般建议禁用administrator账号，重新建立一个属于admin组的账号，这样被攻破的概率大大降低，包 ...

用户名奇葩一点，密码123都没问题

weston · 发表于 2022-11-24 21:45

不禁用administrator也可以，直接给他换个名字就可以了，在组策略里面
端口映射放公网上至今很稳，虽然一直被人扫
内网机器上也要注意的，一些破解软件不能用的

danety · 发表于 2022-11-24 21:56

网络安全太重要了

crcrane · 发表于 2022-11-24 21:57

NAS就不应该跟互联网联通。

lee9069 · 发表于 2022-12-9 23:27

houyuzhou 发表于 2022-9-17 20:20
基本就是电脑里有两块3t硬盘的人教nas用户什么是数据安全。

raid没用，冷备就行多备份就行。

我今天就中勒索了，win server 2019 不过我数据都放 OD上然后 nas 的 od 设置为始终保留在设备上，结果云上的文件啥事没有...100T选择个 GD 土区企业无限盘吧哈哈

crye · 发表于 2022-12-12 16:36

3389转发出去是别的端口容易被扫吗？

账号		自动登录	找回密码
密码			加入我们

[NAS] 一觉睡醒发现自己NAS被勒索了…