发现黑群晖多了许多失败的登陆日志

2021-05-01 11:45:36 +08:00
 csidez

情况如下:
1. 我是黑群晖玩家,系统是 ds918+
2. 使用的是淘宝上的 FRP 代理服务,FRP 的配置文件是我自己本人设置的

今天检查了一下群晖登陆日志,发现有很多本地的失败的登陆日志,而且并不是我的系统的用户名,感觉很奇怪。想到先前 V2EX 上看到的电视盒子登陆家里群晖的帖子,想问一下各位大佬,这种问题排查有什么思路吗?

5079 次点击
所在节点    NAS
21 条回复
venster
2021-05-01 11:49:14 +08:00
看上去不像是被爆破,看用户名倒像是有人错误的登陆了这个 nas
csidez
2021-05-01 11:54:06 +08:00
@venster 阿!并不是,我刚刚翻了后面的日志,全是今天凌晨的 10 多页都这样,在不断尝试 ssh 登陆
![]( https://csidezyum.oss-cn-hangzhou.aliyuncs.com/blogImg/20210501115358.png)
maleclub
2021-05-01 11:55:56 +08:00
该密钥登录,解君愁....其他服务开 otp 两步验证
geniussoft
2021-05-01 12:14:39 +08:00
首先,你的 NAS 能否从公网访问呢?如果不,岂不是 FRP 首先出了问题(常见)。

其次,SSH 建议用的时候再开。

再其次,只要做好相关设置,并使用独立的强密钥,其实也不怕别人爆破。
csidez
2021-05-01 12:15:10 +08:00
@maleclub 嗯嗯 我现在 关闭了 ssh,增加了两步验证。可是我很困扰一个问题是,发生这种情况说明我家局域网肯定有什么漏洞或者被哪个系统被植入了什么东西,让我感觉非常不安全。我希望有什么办法能定位到底是哪个入口使别人来暴力破解我的群晖
csidez
2021-05-01 12:34:43 +08:00
@geniussoft 谢谢大佬,我仔细想想应该也是 frp 服务上出的问题。我去研究研究看看。
LokiSharp
2021-05-01 12:35:00 +08:00
最好还是自己整个公网 ip 自己整 VPN 之类的,公网端口只开个 VPN 的
dLvsYgJ8fiP8TGYU
2021-05-01 14:27:04 +08:00
你从公网(用移动数据)访问家里 NAS 用的是 IP 地址还是域名?这个 IP 或者域名是你自己注册的还是购买其他人提供的?是否有其他人(比如淘宝卖家、这个卖家的其他客户)可能知道这个 IP 或者域名?

如果其他人可能知道这个 IP 或者域名,问题不一定出在你家局域网内。可能只是单纯别人输入错误的地址,或者这个 IP 或者域名被互联网上其他人盯上了,在尝试爆破
dLvsYgJ8fiP8TGYU
2021-05-01 14:33:06 +08:00
接上一条:
同意 @LokiSharp,更好的方案是自己开一个有公网 IP 的云服务器做中转。
这样既可以通过防火墙禁止特定高危 IP 地址段尝试访问你的中转服务,也可以设置仅允许白名单 IP 地址段使用服务,依照你自己的需求灵活配置。
出现了可疑访问也可以通过查询服务器日志,看看是谁在尝试爆破攻击,必要时把对方的 IP 地址段给 block 了
xinh
2021-05-01 14:43:50 +08:00
记得在 v2 前几天见过一个帖子,一样的情况也是用 frp 服务
yeqizhang
2021-05-01 14:46:00 +08:00
应该 frp 的问题,穿透本身就是显示 127.0.0.1 。你可以打开 frp 的日志,去看看 frpc 的日志
kav2007
2021-05-01 15:00:27 +08:00
@csidez #2 这么多 ssh 尝试登录,绝对是有问题的。frp 内网穿透,把服务暴露在公网本来就很危险。远不如 vpn 安全。
NSAgold
2021-05-01 15:01:48 +08:00
来源是 127.0.0.1 那就是 frp 的问题
Lemeng
2021-05-01 15:04:02 +08:00
from 127.0.0.1 很明显了
opengps
2021-05-01 15:20:59 +08:00
前几天的帖子里见过,这是 frp 转发来的访问,很可能外网正在遭受扫描爆破
ji39
2021-05-01 19:27:33 +08:00
那么用户名对应的密码是什么
7gugu
2021-05-01 22:04:24 +08:00
基本都是爆破,我开了超过五次就自动 banIP,能够有效解决这个问题。
csidez
2021-05-01 22:12:18 +08:00
@dLvsYgJ8fiP8TGYU 谢谢大佬,我的 frp 服务是淘宝上买的,问题应该就出在这个上面。现在已经把 frp 服务关掉了。准备自己去弄一个服务器搭建 frp 。
csidez
2021-05-01 22:13:38 +08:00
@7gugu 最气的是,127.0.0.1 这个是不能被 ban 的。比如我的 nas 内网 IP 是 192.168.1.119 ,这个 119 地址是可以被 ban,而 127.0.0.1 是不会被 ban 的
s1e42NxZVE484pwH
2021-05-02 10:24:10 +08:00
我这里显示是我的路由器 ssh 登陆 nas,然后被群晖 ban 了 ip

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/774485

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX