群晖的 root 密码保护太糟糕了

2023-06-10 22:09:20 +08:00
 standin000

不注意将 ssh 暴露到公网,很快就被攻破了 root 密码,植入了僵尸代码。。。

User [root] from [50.168.186.242] logged in successfully via [SSH].
admin@DiskStation:/usr/.work$ ls
31714944_172.18.140.24_sec_event_dict.pkl auth.sh heartalive.lock kworkers rule_descs.csv upx-3.96-amd64_linux.tar.xz xmr
alert_descs.csv config.json hole_descs.csv linux_server64 secure.sh upx-3.96-arm64_linux.tar.xz yum.log
alert_descs.xlsx getGraphData.ipynb index.html networkxAnalysis.ipynb tmp.f9F5g2gAHz work32
analysisPath.ipynb graphscopeAnalysis.ipynb ks-script-JLpxkR nohup.out true_rule_descs.csv work64
/usr/.work/work64

我自己使用都不是 root 用户,没想到这么容易攻破,即使系统封禁了一些 ip

3351 次点击
所在节点    NAS
22 条回复
yuanmomo
2023-06-10 22:29:17 +08:00
这个跟群晖没关系吧?那个 root 密码不能自己设置的么?感觉 ssh 不要公私钥,怎么都不安全
ZRS
2023-06-10 22:31:33 +08:00
前提条件是你启用了 root 账户开启了 ssh 登陆还设置了弱密码吧
blakejia
2023-06-10 22:32:48 +08:00
root 不是直接禁用的么?
GoodRui
2023-06-10 22:48:56 +08:00
@ZRS 是的,up 主苦心积虑帮黑客绕过了群晖的多道防护策略
wheat0r
2023-06-10 22:57:02 +08:00
你不说我都想不到还需要启用 root 用户
monkey110
2023-06-10 23:10:29 +08:00
看到标题心里咯噔一声 ,看了内容一下就放松了
ebioishiiii
2023-06-11 00:18:15 +08:00
所以你的密码是多少长度的大小写数字符号混用?
bao3
2023-06-11 00:25:25 +08:00
你是怎么启用了 root 的…… 再强的这全策略也防不住家贼。
你自己的普通用户名本身就很难被猜到,更别说还要再匹配你的普通用户密码。
你 ssh 居然是公网可以访问的,这个也奇葩……
能同时满足这个组合的黑客,那真的是少了又少,更何况群晖本身是会屏蔽攻击者的 IP…… 好像是禁用一天?

不是群晖有问题,用巨婴思维看,整个地球都有问题,只有巨婴没问题。
jiangzm
2023-06-11 01:02:34 +08:00
什么意思, 用正确的 root 密码, 系统要拦截下“非法”用户对吗?
MeteorVIP
2023-06-11 07:41:38 +08:00
那我的软路由 openwrt 不是很危险?外网 ipv6 的 80 端口直接访问,没有 ipv4 公网,用了 root 账号,非常弱的秘密。
要怎么办?重装系统,然后来个超级复杂的密码?
顺便问一下,怎么看软路由有没有中毒?
luckjoe680
2023-06-11 09:03:16 +08:00
@MeteorVIP 不开放公网 用 vpn 访问
token10086
2023-06-11 10:43:10 +08:00
特地看了下我群辉上的默认配置
```

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
```

人家不是禁用了 root 登录吗。。。
licong
2023-06-11 12:04:18 +08:00
我前几天也开放了,目前没事
nigga
2023-06-11 16:47:30 +08:00
请问有哪个发行版系统你自己弱密码启用 root 公网访问不容易破的?
standin000
2023-06-11 21:21:15 +08:00
@GoodRui @bao3 @ZRS 群晖控制面板一直只有 admin 和 guest 两个用户,我怎么去启用的 root 账户,用群晖就是不想调操作系统,我一直用的 admin 登录,密码也是字母加数字八位。
gadore
2023-06-11 22:45:13 +08:00
@standin000 DSM7.0 默认就是关闭 admin 账号的,第一次设置需要设置自己的管理员账号名称,而且官方也强烈建议更换非 22 端口,官方还非常贴心地会使用安全检查定期提醒,如果你没有修改 22 端口的话。。。你是怎么把这一系列的安全措施全部开放给皇军带的路?还是说。。。你用的低版本?
bao3
2023-06-12 01:32:54 +08:00
@standin000 实在点说,不应该用 admin 用户。从安全角度说,永远只能启用普通用户。另外就是复杂密码是必要的,用密码软件记下密码。
Achophiark
2023-06-12 09:05:46 +08:00
方便与安全是矛盾的,可以只开内网 ssh,然后开启 secure signin
GoodRui
2023-06-12 12:39:22 +08:00
@ZRS 是的,up 主苦心积虑帮黑客绕过了群晖的多道防护策略
@standin000 那我们可就不知道了。群晖是不启用 root 的。如果启用了,肯定是通过 ssh 或 telnet 进行了启用操作。
standin000
2023-06-13 21:42:09 +08:00
@GoodRui admin 用户不是 root 用户,admin 提升权限也需要 sudo ,难道我启用 ssh 登录就自动打开 root 账户了吗?
@gadore 我当然换了 22 端口,但没啥用,攻击都是遍历整个端口网络。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/947615

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX