QNAP品牌的NAS正在遭到大规模文件加密勒索攻击

sj123

从3月中旬开始，最近攻击频率达到了高峰。QNAP的NAS遭到大规模的暴力破解和文件加密勒索攻击。我自己和几个客户的QNAP网盘都受到了不同程度的攻击并且造成了损失。

再次提醒各位朋友，如果你家中或者公司在使用QNAP的NAS，一定要：


1.禁用默认管理员账号admin
2.修改默认外网接口80和8080或者禁止public access
3.修改安全设定，采用ip地址黑名单
4.最重要的，一定要定期备份重要的文件！
5.还有就是一定要升级到最新版本的QTS才能进一步的防止攻击

archills

感谢分享， 家里的synology 也都提示禁止admin用户了。  然后管理员账户我也开了2FA。

symeteor

nas就不要暴露到公网，这都说了多少遍了
打开路由器的vpn功能，在外面需要访问nas就通过vpn连接到内网访问

frank_au

symeteor 发表于 2021-4-26 01:40
nas就不要暴露到公网，这都说了多少遍了
打开路由器的vpn功能，在外面需要访问nas就通过vpn连接到内网访问 ...

结果路由器有漏洞，内网被入侵 2333

symeteor

frank_au 发表于 2021-4-26 11:36
结果路由器有漏洞，内网被入侵 2333

路由器一般用openvpn或者sstp之流，漏洞可比NAS少的多的多

abercorn

我用的是Synology，需要禁用管理员账号吗？
这个NAS和PC我是接到NBN modem的网口上了，怎么知道是不是已经连接到外网呢？

sj123

symeteor 发表于 2021-4-26 01:40
nas就不要暴露到公网，这都说了多少遍了
打开路由器的vpn功能，在外面需要访问nas就通过vpn连接到内网访问 ...

是的，不过很多人在设置nas的时候基本上就按照系统默认然后就开始使用了。然后qnap默认是开启公共ip和外网端口的。这次攻击者是利用qnap的漏洞对所有设备默认的admin帐号进行暴力破解，获得admin权限之后远程执行命令，利用网盘linux系统自带的7zip对所有文件进行加密勒索。

frank_au

定期备份没用吧，毕竟还是在网盘上面

sj123

abercorn 发表于 2021-4-26 11:00
我用的是Synology，需要禁用管理员账号吗？
这个NAS和PC我是接到NBN modem的网口上了，怎么知道是不是已经 ...

虽然这次是针对QNAP系列网盘的。但无论你是用的哪种，如果服务器或者网盘内储存重要文件，建议采用必要的安全设置。一定要定期备份。在系统网络和数据容灾上的投资要远比你丢失数据以后工作生意上的中断损失和数据恢复上的花费少的多。

禾禾禾

之前开着alert,某天突然收到好多尝试登陆的警报， 立马就把public的access关了