[閒聊] 群暉NAS開始新一波被暴力攻擊了嗎

硬碟

33141

剛剛打開mail才發現有台nas觸發帳戶保護機制
打開來log才發現 哇靠
https://i.imgur.com/ftkX9Rj.jpg

一整片的登入失敗紀錄

看了一下另一台不同位置的nas
https://i.imgur.com/tl5blML.jpg

一樣一整片的紀錄

https://i.imgur.com/IUKaSLZ.jpg

大概是今天凌晨兩點多開始的

https://i.imgur.com/vspccS1.jpg

https://i.imgur.com/mSN0yeK.jpg

兩台nas的登入分析
暴力破解的團隊很賊
會一直換ip 繞過ip封鎖的機制
目前只能先開帳號保護了吧


https://i.imgur.com/mNUxQSh.jpg
https://i.imgur.com/wv35QXm.jpg

https://i.imgur.com/eVCxfT8.jpg
https://i.imgur.com/NGLWeNu.png

https://i.imgur.com/3012P4q.jpg
https://i.imgur.com/95eHcHL.jpg

https://i.imgur.com/RhMYfn3.jpg
https://i.imgur.com/Botdvow.jpg

https://i.imgur.com/D0d3rBY.jpg
https://i.imgur.com/RISyFlT.jpg

https://i.imgur.com/daomuz3.jpg
https://i.imgur.com/Gw0vJW5.jpg


--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.72.223.187 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1665471777.A.4AC.html
oldk131樓你的admin沒關掉嗎@@ 10/11 15:11
本人2樓都有關掉 那是嘗試紀錄 10/11 15:11
fujisawa3樓從昨天晚上開始就有大量的DSM登入嘗試 最實在的解就 10/11 15:16
fujisawa4樓是不要把DSM暴露在外網 10/11 15:18
chihyu52255樓問一下,有對外開DAM port嗎?有的話是預設port? 10/11 15:21
chihyu52256樓沒有的話是否有開放QC登入DSM? 10/11 15:21
本人7樓我的只有開443 因為我們只開放443對外 另外也有qc 10/11 15:25
本人8樓爬了一下reddit基本上就是掃80/443/5000/5001居多 10/11 15:25
本人9樓暫時解是只開台灣跟內網ip 其他都擋 10/11 15:26
LuckSK10樓我的預設port全改掉 沒有碰到類似警告 10/11 15:28
fujisawa11樓這波目前看起來就是針對HTTP(S)跟DSM預設的Port去暴 10/11 15:30
fujisawa12樓力破解 QC看起來是沒事 10/11 15:31
本人13樓Reddit那邊也有提到應該不是qc問題 10/11 15:36
本人14樓只開台灣之後只剩下零星一兩次的嘗試 如果逼不得已 10/11 15:37
本人15樓只能開預設port的人可以試試看只開台灣ip 10/11 15:37
本人16樓然後ip封鎖的時效拉到一個禮拜 10/11 15:38
fujisawa17樓應該就是對一大堆IP對預設Port用腳本暴力掃 如果只 10/11 15:39
fujisawa18樓有443能用 可以用Cloudflare Access嗎 10/11 15:40
fujisawa19樓我是有用Access Tunnels 目前是也沒被掃到 10/11 15:42
本人20樓有機會來研究一下好了 10/11 15:42
B098869808821樓dsm是後台console怎麼會開到同時允許多國外網try a 10/11 15:44
B098869808822樓ccess= = 你們it部門原本就會多國wfh來管同一台機 10/11 15:44
B098869808823樓器嗎 10/11 15:44
B098869808824樓正常router那關就不應該放不同國家走port forwardi 10/11 15:45
B098869808825樓ng 來放資料的機器了 10/11 15:45
本人26樓這是我自己的nas 我也不是在公司 10/11 15:51
hollen927樓80 443 除非要架對外網頁 (Web Station) 不然也別開 10/11 15:59
hollen928樓我 HTTPS 和 HTTP 的 DSM PORT 都改掉也沒看到 10/11 16:00
Litfal29樓除非用預設密碼,不然暴力攻擊沒意義吧 10/11 16:02
hollen930樓還有 DSM 曝露外網 只要開二步驟驗證 其實也還好 10/11 16:03