標題: S記 加密 中招 ? [打印本頁]

---

作者: freefdhk    時間: 2021-7-29 12:10     標題: S記 加密 中招 ?

在 FB 'NAS 網路磁碟伺服器 使用者俱樂部' 最近24小時 看見很多台灣用戶的 S記 NAS 中招被加密勒索 / 攻擊,
而且攻擊來源都是 台灣IP 的 S記NAS ( 原生5000/5001 Port) .

據說升 DSM 7 後連 撞密碼 自動 BAN IP 功能都廢埋.
看來白名單自己地區 (香港) 當大量 香港既 NAS 被HACK 成為跳板便失效了.

---

作者: jackwong717    時間: 2021-7-29 12:23

回復 1 #freefdhk

我睇過，無事！

Android 紅米note8pro

---

作者: cpchen    時間: 2021-7-29 12:40

請問是否不要上 dms 7.0 ? 或是要轉 5000, 5001 ports ?

---

作者: tiger23    時間: 2021-7-29 13:56

上咗DSM7後，我部216+不斷地load嘢， HDD好嘈，直頭Login唔到入隻NAS, 我都懷疑被hack。但係部415+暫時好似無事。
兩部都唔係port5000

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: TH30    時間: 2021-7-29 14:16



有冇升左既用家可以確認呢點？

---

作者: kimyiu1029    時間: 2021-7-29 14:38

DSM 6.2.3 前晚開始被撞pw, i.p 走遍全球各地

---

作者: 罪大惡極    時間: 2021-7-29 14:46

黑群果D 做曬帶菌者 都叩你地唔好用架啦

---

作者: jackwong717    時間: 2021-7-29 15:21

不能說,6.2.3有開5000/5001
停用ADMIN,有開防火牆
未有事



圖片附件: 擷取.JPG (2021-7-29 15:21, 37.15 KB) / 下載次數 97
https://www.hkepc.com/forum/attachment.php?aid=2275257&k=0df02baafe39f7350cea4098ab2e1293&t=1781379925&sid=tbg2oZaXi

---

作者: theblueyard    時間: 2021-7-29 17:22



iSCSI Advanced LUN ... 有乜用?

---

作者: jackwong717    時間: 2021-7-29 17:52




    呢個係內聯都可以封相對既PORT,

---

作者: ts_bum    時間: 2021-7-29 18:44

永遠nas唔好放出街, 淨係畀用vpn入!

---

作者: ringolee523    時間: 2021-7-29 18:54

我都不停比人撞, 點搞...

---

作者: freefdhk    時間: 2021-7-29 20:47




台灣就係因為太多台灣NAS中招所以穿透晒.
以你個 Setting 當香港都淪陷晒多左好多僵屍機就到你被撞了。

---

作者: jackwong717    時間: 2021-7-29 21:05




    我覺得似DSM7.0有BUG,我部不能說都想試下,
咁可以增強知識

---

作者: calcal    時間: 2021-7-29 21:42

回覆 12# ringolee523

dsm唔好用5000 and 5001
轉其他port便可以!

---

作者: ringolee523    時間: 2021-7-29 22:42

回覆 15# calcal

可以點樣改port? 搞極都搞哈掂......

---

作者: akitohk    時間: 2021-7-29 22:53



DS918+, DSM7
已disable admin acc
轉左port
拎部dummy電話連儲值卡試自動ban ip 功能運作正常

---

作者: t1174-3    時間: 2021-7-29 22:54




    ROUTER MAP 其他 PORT 也可以~ 比如在 ROUTER 指 OUTSIDE PORT 5002 -> NAS IP PORT 5000 咁.

---

作者: TH30    時間: 2021-7-29 23:02



thx
忍手唔升住


圖片附件: 1.JPG (2021-7-29 23:02, 38.74 KB) / 下載次數 83
https://www.hkepc.com/forum/attachment.php?aid=2275315&k=93bee3eace576cc5266b23575651b20c&t=1781379925&sid=tbg2oZaXi

---

作者: ringolee523    時間: 2021-7-29 23:03

回覆 18# t1174-3

搞掂啦，thanks!
原來係Login Portal 個頁度較，我之前係Router Configuration 到較，較極都較唔到。
而家暫時10分鐘無再撞。

---

作者: royzer0    時間: 2021-7-30 03:20



我升左7.0 仲有哩個選項? 定係佢失去左功用?


但我而家同技術部果邊問緊..硬碟常喚醒問題= = 每半小時就喚醒一次 (未升7.0前同一個設定都沒事 , 可以3小時休眠關機)

圖片附件: nas.JPG (2021-7-30 03:17, 69.33 KB) / 下載次數 46
https://www.hkepc.com/forum/attachment.php?aid=2275333&k=42d4b905c9463cbb931009080ab5cff4&t=1781379925&sid=tbg2oZaXi

---

作者: blaze    時間: 2021-7-30 09:04

本帖最後由 blaze 於 2021-7-30 09:12 編輯

DSM6.2.4, 已經轉咗port同埋disable admin...

28/7開始俾人撞admin... 幾分鐘一次, 每次唔同IP但係間中重複... 之後我firewall淨係俾香港入, 頻率減少左.. auto-block而家一見到重複IP就block...

其他師兄係咪都係類似情況?

---

作者: jackwong717    時間: 2021-7-30 09:15

回復 22 #blaze

有冇加多條所有國家不準入係下面？

Android 紅米note8pro

---

作者: blaze    時間: 2021-7-30 09:17

回覆 23# jackwong717


    yes, DSM port deny all.

---

作者: theblueyard    時間: 2021-7-30 09:28

some come from 香港 ip

---

作者: jackwong717    時間: 2021-7-30 09:29




    我部好正常

圖片附件: 111.JPG (2021-7-30 09:29, 126.69 KB) / 下載次數 24
https://www.hkepc.com/forum/attachment.php?aid=2275348&k=2f0c305a19910aff1c67f004c840aaed&t=1781379925&sid=tbg2oZaXi

---

作者: blaze    時間: 2021-7-30 10:19

呢個係琴日


圖片附件: Screenshot 2021-07-30 at 10.06.40 copy.jpg (2021-7-30 10:18, 131.23 KB) / 下載次數 75
https://www.hkepc.com/forum/attachment.php?aid=2275354&k=36a3d8f281a13dd2ce8ef9e3163d198d&t=1781379925&sid=tbg2oZaXi

---

作者: lavers    時間: 2021-7-30 10:23

本帖最後由 lavers 於 2021-7-30 10:35 編輯

回覆 5# TH30

我用緊7.0, 自動ban ip係 work嘅. 不過呢幾日開始有D唔尋常. 我一直都淨係allow SSH 俾 HK IP都好少俾人撞. 但係依家每日 auto ban 幾個IP撞SSH. 大家都要小心.

我再睇清楚之後發現個7.0個自動ban ip應該係有問題!!! 我一直都淨係allow SSH 俾 HK IP, 但係 auto ban 嘅IP竟然係美國and捷克嘅IP!!!

---

作者: blaze    時間: 2021-7-30 10:25




    我另外一個Server都係, 俾人用唔同Account名撞SSH. 不過依個已經係斷斷續續幾個月

---

作者: jackwong717    時間: 2021-7-30 10:38

本帖最後由 jackwong717 於 2021-7-30 10:41 編輯



    果D IP幾個都係群暉NAS.....似乎都殺來HK都了

定係你部NAS都中左D野.....去登入人地部NAS,
跟住好多人又試下你個IP

---

作者: blaze    時間: 2021-7-30 11:31

回覆 30# jackwong717


    照道理就唔會入咗嚟，如果唔係都唔使撞我admin

---

作者: eilot    時間: 2021-7-30 11:34

升級到7.0後，找不到轉PORT位置?

不過檢查了LOG，全部都是安全

---

作者: blaze    時間: 2021-7-30 11:49

簡單列出一啲基本嘢harden嘢俾大家參考一下，防範成功攻擊，各位師兄隨便加:
1. 停用 admin
2. 停用 Telnet/SSH
3. 轉 DSM ports
4. 提高所有帳號密碼複雜性
5. 打開防火牆, 最後要加一條deny all. 區域性allow/deny就睇自己需要
6. 設定帳戶auto-block
7. 停用HTTPS
8. 設定Log notification留意有冇人撞密碼
9. 定期review log

---

作者: jackwong717    時間: 2021-7-30 11:53

本帖最後由 jackwong717 於 2021-7-30 11:54 編輯

回復 33 #blaze

停用https?
定停用http?

10.停用upnp,唔好係nas開port,
直接係router開
Android 紅米note8pro

---

作者: eilot    時間: 2021-7-30 11:55




   記得以前在DSM6.2中在外部存取有DSM設定用來轉port，現在找不到?

---

作者: jackwong717    時間: 2021-7-30 11:58

回復 35 #eilot

10好緊要，唔好係nas設定

Android 紅米note8pro

---

作者: blaze    時間: 2021-7-30 11:58




    dictation 搞錯咗, 梗係"只用"啦 多謝糾正

1. 停用 admin
2. 停用 Telnet/SSH
3. 轉 DSM ports
4. 提高所有帳號密碼複雜性
5. 打開防火牆, 最後要加一條deny all. 區域性allow/deny就睇自己需要
6. 設定帳戶auto-block
7. 只用HTTPS
8. 設定Log notification留意有冇人撞密碼
9. 定期review log
10.停用upnp,唔好係nas開port,直接係router開

---

作者: jackwong717    時間: 2021-7-30 12:10




    第10點你有無做到?

---

作者: eilot    時間: 2021-7-30 12:15




    不...
是想問如何轉 DSM ports
DSM7.0後連只用HTTPS的位置也改了

---

作者: jackwong717    時間: 2021-7-30 12:24

本帖最後由 jackwong717 於 2021-7-30 12:26 編輯



    睇圖

圖片附件: 擷取.JPG (2021-7-30 12:26, 65.06 KB) / 下載次數 33
https://www.hkepc.com/forum/attachment.php?aid=2275369&k=161662c2b342456618c6530028bafad4&t=1781379925&sid=tbg2oZaXi

---

作者: eilot    時間: 2021-7-30 13:18




...原來是自己眼殘...
一直都是在連線能力那4個分類頁面中找，
見到有貼說是在路由器配置中修改，在當中看到本機連線PORT是已經改了(以前改的PORT)

---

作者: jackwong717    時間: 2021-7-30 13:36

本帖最後由 jackwong717 於 2021-7-30 13:39 編輯



   如果你係ASUS ROUTER...唔一定改NAS個登入PORT,
叫ROUTER將6789 PORT射比5001都得
即外面連入來https://xxxxxx.myds.me:6789

睇圖

圖片附件: we3.JPG (2021-7-30 13:36, 133.24 KB) / 下載次數 28
https://www.hkepc.com/forum/attachment.php?aid=2275376&k=e7f2581ec7ad270d897df5da49ecfacb&t=1781379925&sid=tbg2oZaXi

---

作者: blaze    時間: 2021-7-30 14:55

回覆 38# jackwong717


    UPnP響router已經disable咗... NAS嗰個Media Server限制咗client

---

作者: 觀星是答案    時間: 2021-7-30 15:17

我唔明點解會有人長開 SSH , 仲要 port forward 俾街外面直入
咁同唔著褲行出街有咩分別

---

作者: blaze    時間: 2021-7-30 15:26



SSH可以嘅，同開HTTPS port一樣都係俾人login... 唔係telnet就得啦... SSH都有實際用途㗎如rsync, 轉咗port會安全啲嘅

---

作者: freefdhk    時間: 2021-7-30 15:40




自從改用 (反向代理伺服器 + 綁定域名) + (只允許香港) 就無再比人撞過。
正確域名才代理至 DSM , 不正確的就全空白/普通404頁面。

搞好之後要記得試清楚係打 外網IP 不處理 , 正確的 DOMAIN 才處理.
當然也要不用 5000,5001 Port.

---

作者: freefdhk    時間: 2021-7-30 15:44




DSM 個Firewall 係鬼鬼地 , 有分  共用 (Port1/2)  /   Port 1 /  Port 2 既設定規則
係共用到設定既又未必係 Port1 到生效.

所以搞好左個 只允許 香港IP 既 SSH/DSM連線, 都要自己 VPN 去不同國家試試係咪真係 Work.
唔知幾時更新個 DSM 後變左咁.  總之得閒就VPN去其他國家驗證下.

---

作者: freefdhk    時間: 2021-7-30 15:46




沒升 DSM 7 唔太清楚 , 不過果邊見係 人地撞左無限次都未BAN IP.
會比個帳號保護功能阻左 , 但繼續比佢連線繼續撞。

---

作者: freefdhk    時間: 2021-7-30 15:49



唔知點解傻仔 Cisco Router 係無得 6789->5001  點都要相同時字.
真係激死~哈哈

tp-link , asus ,zyxel , dlink 好似唔覺有呢種傻仔事.

---

作者: jackwong717    時間: 2021-7-30 15:56

回復 48 #freefdhk

Vmm來試啦，身為it專員點可以唔實習一下。

Android 紅米note8pro

---

作者: jackwong717    時間: 2021-7-30 16:06



Dsm登入錯誤會封，ssh唔知會唔會？
正常真係唔好開ssh，更加唔會放出街。

---

作者: jackwong717    時間: 2021-7-30 16:09



我一陣都vpn去外國試下先！
巳防萬一。

---

作者: blaze    時間: 2021-7-30 16:37

回覆 51# jackwong717


    會啊，都計數

---

作者: jackwong717    時間: 2021-7-30 16:42




    奇怪.....試左FREE果D VPN,S同Q都入到!

測過IP係VPN果個

---

作者: jackwong717    時間: 2021-7-30 17:17

原來SET防火牆錯左....!
真係要試至知
原來咩國家都比連...但都無比人亂撞過

---

作者: TH30    時間: 2021-7-30 17:57


11 開2FA
12 勤patch dsm (這點有保留)

---

作者: jackwong717    時間: 2021-7-30 18:10

回復 56 #TH30

11.太煩
12.不能說做唔到

Android 紅米note8pro

---

作者: chinwah    時間: 2021-7-30 18:18

2FA 有開FTP都無用啦, 咪又係一野入嚟

---

作者: cpchen    時間: 2021-7-30 18:20

請問 "反向代理伺服器 + 綁定域名"  點玩法 ?

---

作者: 永恆的回憶    時間: 2021-7-30 18:21

回覆 44# 觀星是答案

我會長開 SSH，但會改 port，同埋唔放出街。
因為見過啲極端 case 入唔到 DSM，要用 SSH 先救到，如果無開 SSH 恐怕要 reset。

---

作者: 永恆的回憶    時間: 2021-7-30 18:24

回覆 42# jackwong717

驚唔驚個 router 俾人 hack 咗入到 intranet 再搞部 NAS，或者係部電腦中咗新型木馬直撞入 NAS？

我本來都用呢個方法，但見近來情況嚴重，最終都改埋 DSM 本身嗰 port。

---

作者: tingcrab    時間: 2021-7-30 18:40

十幾年S記NAS，能避過當年嘅synolocker，最重要都係改port不要用啲common常見嘅port俾人scan到。

如今就會用不能說或者用VMM來起個Virtual DSM，然後係File Manager用read only ac去map返部真NAS返嚟，咁就算用standard port俾人scan同hack都只係dummy嚟……

via HKEPC Reader for Android

---

作者: jackwong717    時間: 2021-7-30 19:02

回復 61 #永恆的回憶

其實講左咁多頁，都唔知係咩問題，比人撞就唔驚，係驚d漏洞
按幾下就入到嚟！

Android 紅米note8pro

---

作者: eilot    時間: 2021-7-30 19:34



如果是qnap那次，做甚麼都沒意義，本身源代碼漏洞隨便入
再求其的開兩步已足夠，就算弱密碼都沒所謂

---

作者: jackwong717    時間: 2021-7-30 20:03




    Q我都無事,我都唔知點解

---

作者: uf2004    時間: 2021-7-30 21:29

改完port無左


圖片附件: synologyDSM70.jpg (2021-7-30 21:29, 146.29 KB) / 下載次數 59
https://www.hkepc.com/forum/attachment.php?aid=2275433&k=4ba5dcf4bf253a58febc4a2d98ddf036&t=1781379925&sid=tbg2oZaXi

---

作者: TH30    時間: 2021-7-30 23:50

弱弱一問，撞中pw入web interface可以有咩做到？
唔係應該經ssh入行command？

---

作者: eilot    時間: 2021-7-31 00:13




    和wd那次一樣，幫你按恢復原廠設定...
不是那麼幸運幫你檔案加密，給你一個希望支付金錢就能解鎖
不過wd那次更慘，官方多年前已棄置的舊貨來，變成只能當內網用

---

作者: 口o口    時間: 2021-7-31 00:54

總之佢香港手....手多按多下都死....

---

作者: Aÿ    時間: 2021-7-31 05:33

回覆 66# uf2004

唔使用SSH
直接scheduled task行command都得

---

作者: freefdhk    時間: 2021-8-2 02:46



改 Port 基本上係必須.
但又怕中招可出絕招.. 多重 Router .
TP-Link -> Asus -> Linksys -> ....  -> NAS

如果咁都比人 Hack ,
基本上要同時有齊漏洞 又要一層一層咁破你等怕係嚴重得罪人先會咁針對.
最重點 Router 唔好俾 nas 主動對外連線. 一定要 Block outgoing 如果唔係主動連出去 quickconnect 跳板就有幾強 firewall 都無料到。

---

作者: jackwong717    時間: 2021-8-2 08:18

回復 71 #freefdhk

咁vmm,ros,ikuai,openwrt唔使咁多實體硬件！

Android 紅米note8pro

---

作者: t19922006    時間: 2021-8-2 10:45

回覆 71# freefdhk

咁換部x86 router / firewall仲平

---

作者: pbodq    時間: 2021-8-2 11:43

慘了，BT ephemeral ports都出唔到街了
乾脆電線都唔好插

---

作者: fix0016A    時間: 2021-8-2 14:41

想請問下我部nas 既firewall setting 係咪有D問題?
我set 一個openvpn (router) 一個l2tp (nas)
但set firewall rules 時要入哂兩個vpn 既子網絡先可以經vpn 入到nas


圖片附件: firewall vpn.png (2021-8-2 14:39, 19.6 KB) / 下載次數 81
https://www.hkepc.com/forum/attachment.php?aid=2275828&k=f2c92b44dda6ab6649552a8ee04f5a31&t=1781379925&sid=tbg2oZaXi

---

作者: freefdhk    時間: 2021-8-2 15:13




    係嫁. 有技術緊係 X86 Router
多重VM 去 Forward 係最省資源.

睇下邊種技術岩自己.

---

作者: 口o口    時間: 2021-8-2 15:17

一個愛快....SET個MAC唔岩....入唔到NAS....KO...

---

作者: jackwong717    時間: 2021-8-2 15:45

本帖最後由 jackwong717 於 2021-8-2 16:13 編輯


咁你OPENVPN同L2TP個網段唔1樣咪要SET2個囉
你VPN後個IP係10.XX.XX.X,你唔話比NAS知咪唔比通過囉!
我都係咁SET

圖片附件: 擷取.JPG (2021-8-2 16:13, 73.13 KB) / 下載次數 63
https://www.hkepc.com/forum/attachment.php?aid=2275833&k=6fe7bee2a09cbbd9876c2f8a6164f3e1&t=1781379925&sid=tbg2oZaXi

---

作者: fix0016A    時間: 2021-8-2 16:16

本帖最後由 fix0016A 於 2021-8-2 16:18 編輯

回覆 78# jackwong717
明白,咁l2tp 同 openvpn 可以set 埋同一個ip?

---

作者: jackwong717    時間: 2021-8-2 16:20

本帖最後由 jackwong717 於 2021-8-2 16:33 編輯




    可以SET同一網段...得1個連線就無問題,同時多過2個,
而又派同同IP就會撞IP(我試左)
你好似我咁分開OPEN VPN同L2TP,
例OPEN VPN 10.10.10.0/255.255.255.0
            L2TP    10.10.11.0/255.255.255.0

留意係不同裝段

圖片附件: 擷取.JPG (2021-8-2 16:33, 73.92 KB) / 下載次數 67
https://www.hkepc.com/forum/attachment.php?aid=2275841&k=daff8145d7244a99ac7d9aca84ceb98b&t=1781379925&sid=tbg2oZaXi

---

作者: fatman    時間: 2021-8-2 16:28


不能說上唔上到7.0呀

都係唔好upgrade, 繼續留係6穩陣啲

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: jackwong717    時間: 2021-8-2 16:29




    可以..........上VMM DSM7.0

---

作者: jackwong717    時間: 2021-8-2 17:24




    會唔會好難SET??

---

作者: 口o口    時間: 2021-8-2 19:49



DHCP靜態+MAC.....再用 ACL ...不過直係一BLOCK咩都用唔到....只可以用VPN...或內聯...