回覆  觀星是答案


    成日聽呢度d人話佢硬件用料cp值高,s 用陳年硬件賺到盡,今次真係  唉。 ...
ChingTszHong 發表於 2021-4-24 21:50



    好似話 QNAP 個 FREE DDNS 比人HACK 埋
所以有晒 IP LIST 去搞呢次野.

TOP

其實有無人諗過係夾埋  又食班用家一筆, 個個唔換機
說不出的話 發表於 2021-4-24 19:28


網上已經有人試左,係qulog center 個d 不同ip 不停試admin pw 個d adress , 9成既address 都係來自S 記既NAS, 只要係攻擊者ip 加 http:// (5000 port) or https:// (5001 port)  S 記 預設port,  就會去到個部S 記login page,  點解既?大家自己諗

即係話好多S 記既機,已經變做左 殭屍機,下轉會唔會到S 記 有事?咁就遲下就知。

S 記既各位brother,  係未發生問題前,記得記得做定backup 啦

TOP

本帖最後由 alanh999 於 2021-4-24 22:15 編輯

回覆 192# qdesign


    This shows that devices from BOTH Synology and QNAP are compromised, which means majority of the consumer grade NAS users in the entire world could be affected one way or the other.

TOP

個堆俾你直接用 ip + port 5000 就開到 login page 既機
真係中招都唔抵可憐

呢度都好多人覺得部 nas 直出 internet 無問題
認為 firewall 開左限香港 ip 就夠

我想話好多殭屍機係香港撞緊其他 nas 既 login name 同 password

TOP

個堆俾你直接用 ip + port 5000 就開到 login page 既機
真係中招都唔抵可憐

呢度都好多人覺得部 nas 直出 ...
觀星是答案 發表於 2021-4-24 22:17



其實如果行 Port 5001-> 443 只白名單 Cloudflare IP .
用 Cloudflare CDN . 咁就一定要估岩埋個 subdomain 先 access 到個 nas.
Cloudflare Pro 好似有得開齊 anti-injection 再限埋地區.

不過 NAS 套野唔係自己寫真係唔會知佢有幾多野可以有漏洞.
Cloudflare 唔知擋唔擋到 zero days injection.

TOP

本帖最後由 tongkai 於 2021-4-24 23:25 編輯

其實 synology 已經有 反向代理伺器

我而家 都係 cloudflare + 反向代理伺器

另外 VPN 唔可以用 cloudflare (橙雲)

但人地係直接 scan ip/port, 雖然入唔到 server, 但 Nginx Proxy 如果有漏洞都會 GG


p.s. Cloudflare 有兩個方案

Argo Tunne https://developers.cloudflare.co ... ctions/connect-apps

Authenticated Origin Pulls  https://support.cloudflare.com/h ... icated-Origin-Pulls

回覆 195# freefdhk

p.p.s. 如果用 cloudflare 就有可能唔可以 set 死 GeoIP HK, 因為佢會有 singapore, US IP

Capture13.PNG
2021-4-24 23:25

TOP

回覆 182# t19922006

如果本身係SET左第一個..係咪都要SET返MANUAL好D?

TOP

本帖最後由 freefdhk 於 2021-4-24 23:36 編輯
其實 synology 已經有 反向代理伺器

我而家 都係 cloudflare + 反向代理伺器

另外 VPN 唔可以用 cloudfla ...
tongkai 發表於 2021-4-24 23:14



嗯,我都有用 Synology NAS 個反向代理自己指返比自己試過,
不過就算唔用 Cloudflare 經 自己個 反向代理伺器 連入來就已經變晒做 NAS IP
冇晒保護功能。不過 Cloudflare -> 反向代理443 -> NAS 5000 同就咁 443 係 5000都分別不大.


Cloudflare 有公佈 IP List . 入晒落 Router RULE , NAS Firewall RULE.
https://www.cloudflare.com/zh-tw/ips/

NAS 要將 Cloudflare IPLIST 白名單, 唔做其他 IP 既 Port forwarding .
靠 Cloudflare Panel 個 GEO IP Block 而唔係靠 NAS GeoIP Block了.

TOP

sub domain 後而我會改埋 service default name, 例如 /file > /hkfile  /moments > /everymoments

"唔用 Cloudflare 經 自己個 反向代理伺器 連入來就已經變晒做 NAS IP"
呢個我唯有用 firewall 擋

" Cloudflare -> 反向代理443 -> NAS 5000 同就咁 443 係 5000都分別不大"
完全唔同, 反向代理 唔會直接中 5001, 你講過要 subdomain 對, 先會 forward

"Cloudflare 有公佈 IP List"
上一排佢有封 email 話改左某 d  port
Capture.PNG
2021-4-24 23:48


回覆 198# freefdhk

TOP

本帖最後由 freefdhk 於 2021-4-25 00:11 編輯
sub domain 後而我會改埋 service default name, 例如 /file > /hkfile  /moments > /everymoments

"唔用  ...
tongkai 發表於 2021-4-24 23:48



    嗯, 我有睇email 佢都有寫係個底.
Apr 8, 2021:
104.16.0.0/12 removed from ips-v4
104.16.0.0/13 added to ips-v4
104.24.0.0/14 added to ips-v4

真係要跟足佢. 因為佢話 104.16.0.0/12  會放俾 vpn user 用.
所以會變左做唔可靠既 ip.
其實個反向代理可能都要check 埋header 有冇cloudflare 特徵.
例如 $_SERVER["HTTP_CF_IPCOUNTRY"]  咁就知係經 cloudflare cdn 而唔係 cloudflare vpn .
不過好似冇得細改


改左入口名會唔會 mobile apps 連唔到 ? (未試)
/file > /hkfile  /moments > /everymoments

TOP