V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
conglovely
V2EX  ›  NAS

黑群晖突然中了勒索病毒,每个文件夹都被放了这么一个文件,怎么排查从哪进的?

  •  1
     
  •   conglovely · 32 天前 · 3239 次点击
    这是一个创建于 32 天前的主题,其中的信息可能已经有所发展或是发生改变。

    ![截图 1]( https://imgur.com/a/6tLtbrd xxx.png)

    38 条回复    2024-05-23 23:03:35 +08:00
    imlonghao
        1
    imlonghao  
       32 天前
    开了什么服务,外网能否可达
    conglovely
        2
    conglovely  
    OP
       32 天前
    @imlonghao 昨天买了 vidhub ,jellyfin 端口没改,有开外网 而且今天才想起来读取的文件夹改只读权限,之前是读写,不知道和这个有没有关系。
    liuzimin
        3
    liuzimin  
       32 天前
    @conglovely 没看懂,啥叫读取的文件夹?文件夹不都是可读取的吗?
    imlonghao
        4
    imlonghao  
       32 天前
    vidhub 无关
    jellyfin 端口没改 无关
    读取的文件夹改只读权限,之前是读写 无关

    你密码是弱口令吗
    guisheng
        5
    guisheng  
       32 天前 via iPhone
    这么容易进来,有时间写写你的网络布局吗?
    动态公网 I P ,需要时才开放虚拟服务器开放端口,默认用户名称调整,密码一个月改一次。不知道还有没有安全漏洞问题
    conglovely
        6
    conglovely  
    OP
       32 天前
    @imlonghao #4 不会,大小写加符号的密码总的 9 位,复杂度应该够
    conglovely
        7
    conglovely  
    OP
       32 天前
    @guisheng 还有一台 PVE 上的 win10 ,突然登陆不了,密码好像被改了,那台上有连接 NAS
    lxh1983
        8
    lxh1983  
       32 天前
    什么版本的黑裙?
    lueyue
        9
    lueyue  
       32 天前
    @conglovely 大概率是那台 win 破解进去的,然后把 sma 连接文件夹都改了。
    conglovely
        10
    conglovely  
    OP
       32 天前
    @lxh1983 DS918+ 7.2.1 感觉是 PVE 上的 WIN10 搞的,那台也进不了了
    Yass
        11
    Yass  
       32 天前 via Android
    诶?貌似我也有 win 连着群晖,有点怕…
    monkey110
        12
    monkey110  
       32 天前
    所以 win10 可以公网访问还开了弱密码?
    geniussoft
        13
    geniussoft  
       32 天前 via iPhone
    (包括但不限于黑)群晖不能及时更新系统,也容易被入侵。
    zololiu
        14
    zololiu  
       31 天前 via iPhone
    希望能查明原因,有点可怕了。😑
    conglovely
        15
    conglovely  
    OP
       31 天前
    @Yass 赶紧加强防护...
    conglovely
        16
    conglovely  
    OP
       31 天前
    @geniussoft 系统是最新的,感觉是 PVE 上的 WIN 被搞了,现在重装并搞了复杂密码
    psh2129
        17
    psh2129  
       31 天前
    排查密码是否太简单或是有电脑记住密码,然后这台机器密码太简单!不要问我为什么知道。。。
    Yass
        18
    Yass  
       31 天前
    @conglovely 我看了我只有群晖开了外网端口,Win 是在内网的。你的 Win 是可以外网访问的吗?
    conglovely
        19
    conglovely  
    OP
       31 天前
    @psh2129 嚓,可能就是这样了,还好狡兔三窟,放了几个地方😰
    conglovely
        20
    conglovely  
    OP
       31 天前
    @Yass #18 开了 NPS 内网穿透😨
    catamaran
        21
    catamaran  
       30 天前
    说个题外话,之前我下了一个蓝灯,不记得从那儿下的了,运行后电脑特别慢,我当时就感觉非常不对劲,直接杀进程,然后发现桌面的图片全部被加密了,还好我手快,电脑的照片还没遭殃。我尝试给勒索者发了邮件,没有回复,估计那个邮箱都失效了。
    accelerator1
        22
    accelerator1  
       30 天前
    为啥都喜欢直接暴露公网?用个 vpn 回去很麻烦么?
    Belmode
        23
    Belmode  
       30 天前
    NPS 已经 n 年没有更新了,到处都是 0 day ,这你还敢用。
    n2l
        24
    n2l  
       30 天前
    @accelerator1 软路由做主路由运行爱快,爱快上 ddns 绑定域名,不做端口转发,内网 win10 运行 tailscale ,开 ssh ,登录方式为 public key && 登录密码,同时加 EvlWatcher 保护,n 次错误拉小黑屋,rdp 开关用 ssh 控制,ssh 和 rdp 的入站规则都只允许 100.64.0.0/10 网段( tailscale 专属);内网 linux 开 ssh ,登录方式为 public key+google 动态密码,加 fail2ban 保护,n 次错误拉小黑屋,这样可以吗,这两天才弄的。
    accelerator1
        25
    accelerator1  
       30 天前
    @n2l 你的方案比楼主强多了,看起来是通过 vpn 连上家庭网络的。我们都是普通用户,其实宗旨只有一个,暴露公网的服务越少越好。
    conglovely
        26
    conglovely  
    OP
       29 天前
    @Belmode 有没有替代的方案,我这 tailscale 非常慢😰
    liuzimin
        27
    liuzimin  
       29 天前 via Android
    @conglovely 哈哈我也是,真羡慕大家又是 zerotier 又是 tailscale 轻轻松松。。。我打洞根本打不通。
    GrayXu
        28
    GrayXu  
       29 天前
    @n2l #24 你这也太安全了
    kenvix
        29
    kenvix  
       29 天前
    @accelerator1 #22 如果用户不止我一人,那很麻烦
    Satansickle
        30
    Satansickle  
       27 天前
    @conglovely win 开了 nps 用的 rdp 远程访问的吧?
    Satansickle
        31
    Satansickle  
       27 天前
    如果非要用 rdp 远程访问,建议不要开放 ipv4 的端口,做 ipv6 的 ddns+ipban+rdp 就保险多了。
    conglovely
        32
    conglovely  
    OP
       27 天前
    @Satansickle #31 我这还没有 ipv6😰 目前是改了 RDP 端口再加复杂密码顶着
    Satansickle
        33
    Satansickle  
       27 天前
    @conglovely 国内还有不通 ipv6 的地方??普天之下不是王土了?
    conglovely
        34
    conglovely  
    OP
       27 天前
    Satansickle
        35
    Satansickle  
       27 天前
    @conglovely 干了光猫看看啊,大概率是光猫 pppoe 选项下没开 ipv4/ipv6
    conglovely
        36
    conglovely  
    OP
       27 天前
    @Satansickle #35 我回去摸索看看,谢谢老哥
    Satansickle
        37
    Satansickle  
       27 天前
    @conglovely 我一台机房跳板机,用 ipv6 的 ddns+ipban+rdp 快一年了,一个异常登录的记录都!没!有!,说明 ipv6 的安全性确实比 ipv4 高几个数量级!
    liuzimin
        38
    liuzimin  
       27 天前 via Android
    @Satansickle 确实有啊。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5728 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 02:15 · PVG 10:15 · LAX 19:15 · JFK 22:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.