NAS不停的有外部IP尝试用管理员账户登录

zhgna

以前nas每天总有一堆4625，也没太当回事，后来看到论坛童鞋被勒索，才开始有点紧张，从此关掉外网端口，改RDP为L2TP访问内网，外加了个ipban ，nas的4625从此消失了。

shine360

家里的NAS指定内网IP访问，毕竟你都是回家才折腾，所有外网IP都洗洗睡了

tyy474

没有陌生设备接入，已经很久没这样的提示了，好怀念啊

fiberhf

直接连公网的话管理员帐号肯定是要禁掉的，建个其它名称的管理员

c2h6o

端口也要改下，不要用默认5000端口，强密码，不用ADMIN用户名

joty

改个账户名

港城钢铁侠

一样，之前我的webdav服务器也总是有机器尝试登录，解决方案是用Nginx反向代理，Nginx那边写点访问、请求频率限制的规则。

ccchoco

BetaHT 发表于 2022-10-15 12:19
5次失败封锁ip

就给一次机会，最多了

humalu

iOS 的Drive 一定要用5000/5001端口怎么解？
一改掉就连不上了。在域名后面加端口不能用。
我是用DDNS，不用quickconnect的。

roy2006

最好还是不要暴露在公网，不是用户名密码或者ban暴力登录ip那么简单。

如果NAS系统出了新的0day漏洞，会有脚本针对该厂商或者型号的NAS全网直接攻击
而且现在各种扫描引擎很多，国外的撒旦啊，国内的钟馗之眼啊，不断的都在扫公网做好标记和记录，什么设备，型号，版本
一个版本出bug，黑客马上直接把这些暴露出来的服务搞一遍

hlc1134

roy2006 发表于 2022-10-20 11:33
最好还是不要暴露在公网，不是用户名密码或者ban暴力登录ip那么简单。

如果NAS系统出了新的0day漏洞，会有 ...

正解。多复杂的密码都没用的，人家黑你都不用密码。
改端口放5-10年前还好用，现在早就不好使了。过时的信息就不要再传播了。

想要保证相对安全，只有两条路可选：
1. V**类的隧道。比如wireguard，是开源和审计过的代码。协议简洁，0day少。
2. 请一个网络安全公司，买他们家的（商用）产品。

没有第三条路。除非你的群晖只放点无关紧要的东西，你不在乎黑不黑。

zxcvsam9

最暴力的方法可以直接指定装置mac地址

重庆森林

开二次验证

sw_yp

多数时候在外都不会连NAS，要用的时候都是使用**

dawnhawk

装个stunnel：https://www.stunnel.org/downloads.html

nineapple

群晖有个黑名单， 可以导入一下

其次是不要把5000端口开放到外网

最后还是用威屁恩连回家吧

聚乙醇

hlc1134 发表于 2022-10-20 15:43
正解。多复杂的密码都没用的，人家黑你都不用密码。
改端口放5-10年前还好用，现在早就不好使了。过时的 ...

怎么就误导了？扫3389用windows漏洞，扫5000用群晖的漏洞，9999这个端口扫出来你准备怎么攻击？是否大范围可用？

hlc1134

聚乙醇 发表于 2022-10-25 19:08
怎么就误导了？扫3389用windows漏洞，扫5000用群晖的漏洞，9999这个端口扫出来你准备怎么攻击？是否大范 ...

实践出真知
你要不相信也没办法
不过从你说的理由来看，你对网络安全的认识还是很肤浅的

聚乙醇

hlc1134 发表于 2022-10-26 12:58
实践出真知
你要不相信也没办法
不过从你说的理由来看，你对网络安全的认识还是很肤浅的 ...

对于定向攻击当然没用。
我想讨教，默认端口与更改端口被攻击的概率相同？？

hlc1134

聚乙醇 发表于 2022-10-26 13:10
对于定向攻击当然没用。
我想讨教，默认端口与更改端口被攻击的概率相同？？ ...

基本一致。现在扫端口，都是全范围扫。

当然这不算搞着玩的菜鸟hacker。

dudurpg

ban ip,我错一次就ban，ban了几千个了

刹之那

也别散播焦虑，错几次ban ip就行了，至于0day漏洞，放心吧，一半黑客都不会用这玩意儿攻击个人，又没什么收益……自己经常更新补丁屁事没有