自建群晖NAS被暴力撞密码

Momo

家里放了一台自建黑裙，公网IP，在路由器用花生壳做了域名解析，昨天开始就一直有ip撞密码登录，因为我做了三次输入密码就锁IP，同时给我发封邮件。从邮件上看每次都是换个IP来撞，昨天持续了一天，不堪其扰，昨晚上就把花生壳解析给关掉了，理论上就无法通过域名再访问了，除了知道我的IP，而且路由IP基本上是每天切换一次，结果今天还在不停的撞，我现在在局域网外，因此我自己都连不上NAS了，是不是NAS中木马了，自动把IP发给某个地方，然后就被暴力撞密码？

我现在很担心这样撞下去一不小心就给撞开了，请教各位有什么看法？

Momo

补充，家里一条电信宽带专门伺候这台NAS，这条线路由器的WIFI都是关闭的，我们自己用的都是单路的另外一条宽带。

gzhuli

都是爬虫自动扫端口的，只要公网IP就无法避免被扫。

amwjz

更换端口号，不要用默认的

LL00

Momo 发表于 2022-9-2 14:04
补充，家里一条电信宽带专门伺候这台NAS，这条线路由器的WIFI都是关闭的，我们自己用的都是单路的另外一条 ...
(引用自2楼)

我的NAS也可外网登录，只是端口号用的不是默认的，所以运行下来被这种攻击的情况很少。

Momo

gzhuli 发表于 2022-9-2 14:12
都是爬虫自动扫端口的，只要公网IP就无法避免被扫。
(引用自3楼)

以往偶尔有一次封锁情况，这次感觉像是被瞄准了攻击一样，一直不断来撞密码。

另几乎所有服务的端口都改用非默认的了。之前是FTP老是被撞，改成非默认端口后几乎就没有撞的了。

cctv02

这事好办在前面加nginx，默认站点放个404，就只允许自己的域名打开web页面。
注意要给nginx反代加上websocket(ws/wss)长链接的支持。
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

Momo

感谢各位的支招，我再看看如何加强防护。

另外我最蹊跷的是，做完我关闭了域名解析，根据以往的经验半夜IP就会更换，如果是这样第二天应该是没法再访问了，因为即便是昨天白天通过域名获取了我的IP，那今天IP已经变了，域名也无法解析了，攻击是如何做到持续进行的？

gzhuli

Momo 发表于 2022-9-2 14:54
感谢各位的支招，我再看看如何加强防护。

另外我最蹊跷的是，做完我关闭了域名解析，根据以往的经验半夜IP ...
(引用自8楼)

不是通过域名，是直接扫IP的，优先扫FTP SSH HTTP等标准端口，也有全端口嗅探，改非标准端口可以减少一点，但不能完全杜绝。

我不用群晖，自己用Linux架的服务器，SSH禁用密码登录，只允许数字证书登录，3次失败封IP。HTTPS私有服务也开启了客户端证书验证，没证书拒绝访问。

ackyee

群晖可以设置 同一IP 输出几次密码  封锁 多少天登录 （也可以无限多天）

我设置成输错3次  封锁


哦哦 没仔细看 你的应该是被机器人扫描了   不一定是同一个人 扫描的

lw32

关闭域名解释，只要是公网IP就会被扫的，我开始用时没有域名也经常被扫，那时也担心
后面改端口不暴露，只映射有到的端口，后面就没有看到IP封锁提示了，不过自己弱鸡，说不定已经成肉机了都还不知道

shawn_bu

禁用默认的admin用户然后新起一个自定义用户加一个强密码应该会安全不少吧

WZW

这让我想起来了，我的自己NAS的局域网IP被 NAS自己封了，我都没有想明白为什么。  原来是我的做的公网穿透都是映射到NAS自己的IP登录，估计是这种IP撞密码登录导致的。
  

我是一个大白菜

你好，如何做 3次密码失败封锁IP的呢？可以指点一下吗

mypear

密码被破解了么？

mypear

没有公网，用内网穿透。没有给扫过端口

ycwjl728

群晖好像有错密码封IP的功能。

adcr

建一个VPN做防火墙吧

autolog

不暴露在公网。临时用就临时开公网。

amxx

我是一个大白菜 发表于 2022-9-2 16:52
你好，如何做 3次密码失败封锁IP的呢？可以指点一下吗
(引用自14楼)

我用的fail2ban，不知道大家用的啥

我是一个大白菜

amxx 发表于 2022-9-2 20:17
我用的fail2ban，不知道大家用的啥
(引用自20楼)

好的，谢谢

lusson

我现在是软路由建了个VNP server，然后手机或电脑VPN连接再远程桌面。

cctv02

WZW 发表于 2022-9-2 16:06
这让我想起来了，我的自己NAS的局域网IP被 NAS自己封了，我都没有想明白为什么。  原来是我的做的公网穿透 ...
(引用自13楼)

群晖在安全性有信任的代理服务器设置就行，全网我都没找到解决方法偶然看到

guolun

gzhuli 发表于 2022-9-2 15:19
不是通过域名，是直接扫IP的，优先扫FTP SSH HTTP等标准端口，也有全端口嗅探，改非标准端口可以减少一点 ...
(引用自9楼)

这个一看就感觉更安全。但我还不会使用数字证书。得学一下。

makesoft

我用一台win7做简单的文件和svn服务，安全记录也是看得惊心动魄，每天都是有几十个错误登录事件，网络上“专家”太多了，无奈。

下一页

我有个笨办法，但是绝对的物理隔离还能远程访问。

家里有摄像头吧，能远程语音通话那种，家里有天猫精灵或者别的什么智能音箱吧。

弄一个无线插座，能被天猫精灵遥控的那种，插座上接你的nas电源。


需要远程访问的时候，用摄像头的手机端，给家里的天猫精灵发语音信息，打开nas插座，然后nas上电，一分钟之后你就能访问你的nas了，访问完，语音关掉你家的nas电源。

当然嫌麻烦，可以用远程遥控的插座也行。可以跳过天猫精灵和摄像头。

Momo

刚刚买了一个4G控制的电源插座，准备在遇到这种情况就直接遥控断路由器的电，今天还有零星的攻击但是少了很多，估计这一波算是顶过去了。

john78

Momo 发表于 2022-9-3 11:20
刚刚买了一个4G控制的电源插座，准备在遇到这种情况就直接遥控断路由器的电，今天还有零星的攻击但是少了很 ...
(引用自27楼)

这个只要远程重启下路由，WAN断开重新连接，获取不同的IP就可以了吧。

月夜随想

下一页 发表于 2022-9-3 09:46
我有个笨办法，但是绝对的物理隔离还能远程访问。

家里有摄像头吧，能远程语音通话那种，家里有天猫精灵或 ...
(引用自26楼)

我差不多，电源多接一个WIFI插座，需要用NAS就把电源打开

Franso

cctv02 发表于 2022-9-2 14:49
这事好办在前面加nginx，默认站点放个404，就只允许自己的域名打开web页面。
注意要给nginx反代加上websock ...
(引用自7楼)

黑裙上装nginx么

Franso

你用的黑裙是什么版本的？