Momo 发表于 2022-9-2 14:03:35

自建群晖NAS被暴力撞密码

家里放了一台自建黑裙,公网IP,在路由器用花生壳做了域名解析,昨天开始就一直有ip撞密码登录,因为我做了三次输入密码就锁IP,同时给我发封邮件。从邮件上看每次都是换个IP来撞,昨天持续了一天,不堪其扰,昨晚上就把花生壳解析给关掉了,理论上就无法通过域名再访问了,除了知道我的IP,而且路由IP基本上是每天切换一次,结果今天还在不停的撞,我现在在局域网外,因此我自己都连不上NAS了,是不是NAS中木马了,自动把IP发给某个地方,然后就被暴力撞密码?

我现在很担心这样撞下去一不小心就给撞开了,请教各位有什么看法?

Momo 发表于 2022-9-2 14:04:43

补充,家里一条电信宽带专门伺候这台NAS,这条线路由器的WIFI都是关闭的,我们自己用的都是单路的另外一条宽带。

gzhuli 发表于 2022-9-2 14:12:03

都是爬虫自动扫端口的,只要公网IP就无法避免被扫。

amwjz 发表于 2022-9-2 14:22:13

更换端口号,不要用默认的

LL00 发表于 2022-9-2 14:38:28

Momo 发表于 2022-9-2 14:04
补充,家里一条电信宽带专门伺候这台NAS,这条线路由器的WIFI都是关闭的,我们自己用的都是单路的另外一条 ...
(引用自2楼)

我的NAS也可外网登录,只是端口号用的不是默认的,所以运行下来被这种攻击的情况很少。

Momo 发表于 2022-9-2 14:46:08

gzhuli 发表于 2022-9-2 14:12
都是爬虫自动扫端口的,只要公网IP就无法避免被扫。
(引用自3楼)

以往偶尔有一次封锁情况,这次感觉像是被瞄准了攻击一样,一直不断来撞密码。

另几乎所有服务的端口都改用非默认的了。之前是FTP老是被撞,改成非默认端口后几乎就没有撞的了。

cctv02 发表于 2022-9-2 14:49:17

这事好办在前面加nginx,默认站点放个404,就只允许自己的域名打开web页面。
注意要给nginx反代加上websocket(ws/wss)长链接的支持。
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

Momo 发表于 2022-9-2 14:54:47

感谢各位的支招,我再看看如何加强防护。

另外我最蹊跷的是,做完我关闭了域名解析,根据以往的经验半夜IP就会更换,如果是这样第二天应该是没法再访问了,因为即便是昨天白天通过域名获取了我的IP,那今天IP已经变了,域名也无法解析了,攻击是如何做到持续进行的?

gzhuli 发表于 2022-9-2 15:19:11

Momo 发表于 2022-9-2 14:54
感谢各位的支招,我再看看如何加强防护。

另外我最蹊跷的是,做完我关闭了域名解析,根据以往的经验半夜IP ...
(引用自8楼)

不是通过域名,是直接扫IP的,优先扫FTP SSH HTTP等标准端口,也有全端口嗅探,改非标准端口可以减少一点,但不能完全杜绝。

我不用群晖,自己用Linux架的服务器,SSH禁用密码登录,只允许数字证书登录,3次失败封IP。HTTPS私有服务也开启了客户端证书验证,没证书拒绝访问。

ackyee 发表于 2022-9-2 15:21:24

shuru

本帖最后由 ackyee 于 2022-9-2 15:23 编辑

群晖可以设置 同一IP 输出几次密码封锁 多少天登录 (也可以无限多天)

我设置成输错3次封锁


哦哦 没仔细看 你的应该是被机器人扫描了   不一定是同一个人 扫描的

lw32 发表于 2022-9-2 15:29:54

关闭域名解释,只要是公网IP就会被扫的,我开始用时没有域名也经常被扫,那时也担心
后面改端口不暴露,只映射有到的端口,后面就没有看到IP封锁提示了,不过自己弱鸡,说不定已经成肉机了都还不知道

shawn_bu 发表于 2022-9-2 15:45:09

禁用默认的admin用户然后新起一个自定义用户加一个强密码应该会安全不少吧

WZW 发表于 2022-9-2 16:06:11

这让我想起来了,我的自己NAS的局域网IP被 NAS自己封了,我都没有想明白为什么。原来是我的做的公网穿透都是映射到NAS自己的IP登录,估计是这种IP撞密码登录导致的。

我是一个大白菜 发表于 2022-9-2 16:52:28

你好,如何做 3次密码失败封锁IP的呢?可以指点一下吗

mypear 发表于 2022-9-2 17:31:33

密码被破解了么?

mypear 发表于 2022-9-2 17:35:27

没有公网,用内网穿透。没有给扫过端口

ycwjl728 发表于 2022-9-2 18:25:28

群晖好像有错密码封IP的功能。

adcr 发表于 2022-9-2 18:35:25

建一个VPN做防火墙吧

autolog 发表于 2022-9-2 18:46:50

不暴露在公网。临时用就临时开公网。

amxx 发表于 2022-9-2 20:17:38

我是一个大白菜 发表于 2022-9-2 16:52
你好,如何做 3次密码失败封锁IP的呢?可以指点一下吗
(引用自14楼)

我用的fail2ban,不知道大家用的啥

我是一个大白菜 发表于 2022-9-2 20:25:20

amxx 发表于 2022-9-2 20:17
我用的fail2ban,不知道大家用的啥
(引用自20楼)

好的,谢谢

lusson 发表于 2022-9-2 21:35:24

我现在是软路由建了个VNP server,然后手机或电脑VPN连接再远程桌面。

cctv02 发表于 2022-9-2 22:03:53

WZW 发表于 2022-9-2 16:06
这让我想起来了,我的自己NAS的局域网IP被 NAS自己封了,我都没有想明白为什么。原来是我的做的公网穿透 ...
(引用自13楼)

群晖在安全性有信任的代理服务器设置就行,全网我都没找到解决方法偶然看到

guolun 发表于 2022-9-2 23:37:19

gzhuli 发表于 2022-9-2 15:19
不是通过域名,是直接扫IP的,优先扫FTP SSH HTTP等标准端口,也有全端口嗅探,改非标准端口可以减少一点 ...
(引用自9楼)

这个一看就感觉更安全。但我还不会使用数字证书。得学一下。

makesoft 发表于 2022-9-3 07:15:53

我用一台win7做简单的文件和svn服务,安全记录也是看得惊心动魄,每天都是有几十个错误登录事件,网络上“专家”太多了,无奈。

下一页 发表于 2022-9-3 09:46:53

本帖最后由 下一页 于 2022-9-3 09:50 编辑

我有个笨办法,但是绝对的物理隔离还能远程访问。

家里有摄像头吧,能远程语音通话那种,家里有天猫精灵或者别的什么智能音箱吧。

弄一个无线插座,能被天猫精灵遥控的那种,插座上接你的nas电源。


需要远程访问的时候,用摄像头的手机端,给家里的天猫精灵发语音信息,打开nas插座,然后nas上电,一分钟之后你就能访问你的nas了,访问完,语音关掉你家的nas电源。

当然嫌麻烦,可以用远程遥控的插座也行。可以跳过天猫精灵和摄像头。

Momo 发表于 2022-9-3 11:20:58

刚刚买了一个4G控制的电源插座,准备在遇到这种情况就直接遥控断路由器的电,今天还有零星的攻击但是少了很多,估计这一波算是顶过去了。

john78 发表于 2022-9-4 13:02:19

Momo 发表于 2022-9-3 11:20
刚刚买了一个4G控制的电源插座,准备在遇到这种情况就直接遥控断路由器的电,今天还有零星的攻击但是少了很 ...
(引用自27楼)

这个只要远程重启下路由,WAN断开重新连接,获取不同的IP就可以了吧。

月夜随想 发表于 2022-9-4 14:21:09

下一页 发表于 2022-9-3 09:46
我有个笨办法,但是绝对的物理隔离还能远程访问。

家里有摄像头吧,能远程语音通话那种,家里有天猫精灵或 ...
(引用自26楼)

我差不多,电源多接一个WIFI插座,需要用NAS就把电源打开

Franso 发表于 2023-4-24 13:52:31

cctv02 发表于 2022-9-2 14:49
这事好办在前面加nginx,默认站点放个404,就只允许自己的域名打开web页面。
注意要给nginx反代加上websock ...
(引用自7楼)

黑裙上装nginx么{:biggrin:}

Franso 发表于 2023-5-28 11:02:52

你用的黑裙是什么版本的?
页: [1]
查看完整版本: 自建群晖NAS被暴力撞密码