暴露在公网上的威联通 NAS 会被勒索攻击

5long

BleepingComputer 的报导： https://www.bleepingcomputer.com ... btc-for-master-key/
QNAP 的官方公告：https://www.qnap.com/zh-cn/security-news/2022
1 月 26 日这是新的一波，攻击组织名为 DeadBolt
元旦前后已经开始有一波
去年 4 ~ 5 月期间还有一波

虽说“如果没有必要就不应把 NAS 暴露到公网”
但 UPnP + DDNS 仍然是个起步简单、不需额外加装软件的配置方案
说不定很多人已经不知不觉就中招了但自己还没发现（

01-27 更新:
外国网友在 Reddit 上表示自己的 NAS 被自动强制升级系统了:
https://redd.it/sds6rb https://redd.it/sdsf02
不知道是否与此事有关

02-01 更新:
官方的新公告(网站是中文版, 但公告本身暂时没有中文版):
https://www.qnap.com/zh-cn/secur ... ded-version-feature
尝试解释"为什么你的 NAS 被自动强制升级系统了"

rrpw777

这个QNAP公告就是说还没有找到漏洞在哪里，所以先让大家把设备下线？4月单位已经中招过一次的路过。

—— 来自 vivo NEX S, Android 10上的 S1Next-鹅版 v2.5.2-play

5long

rrpw777 发表于 2022-1-26 22:10
这个QNAP公告就是说还没有找到漏洞在哪里，所以先让大家把设备下线？4月单位已经中招过一次的路过。

——  ...

是的，目前没有明确结论
只能先用阻隔访问的方式防御（平时也推荐这么做
比如建个 VPN
ZeroTier 这种应该还算简单，而且在很多系统上都有客户端

卡什坦

好可怕

Saker_bobo

这些nas不是都带docker吗 挂个SS隧道 只放SS的公网端口映射 在外面连回内网访问 久经考验的技术 应该没啥问题

5long

Saker_bobo 发表于 2022-1-26 22:25
这些nas不是都带docker吗 挂个SS隧道 只放SS的公网端口映射 在外面连回内网访问 久经考验的技术 应该没啥问 ...

就怕无意中 / 图省事开了 UPnP
那么再怎么防范也能绕过去（

严格来说，安全防范最好还是不要自己发明方案
SS 设计之初不是用来当 VPN 的，现在也不是
有现成的 VPN 软件就直接拿来用就最好
而且公网端口映射也不是必须一直开着的，完全可以按需临时穿透

borrowface

收到邮件就赶紧去关了

—— 来自 Xiaomi Mi 10, Android 11上的 S1Next-鹅版 v2.5.2-play

Saker_bobo

5long 发表于 2022-1-27 00:19
就怕无意中 / 图省事开了 UPnP
那么再怎么防范也能绕过去（

主要是这些隧道可以和规则代理程序一起用 做到仅代理内网 其他不动 VPN的话就很麻烦了

windrarara

直接开个frp不行吗...

褪色的雪花

玛德喷了昨天刚买个威联通

—— 来自 Xiaomi Mi9 Pro 5G, Android 11上的 S1Next-鹅版 v2.5.2

junning1999

自家有公网IP的话还是考虑搞个有VPN服务器功能的路由器，访问NAS的时候从公网挂VPN进入内网。直接把NAS暴露在公网上真的不安全。

董卓

开个l2tp回家又费不了多少力气

天气姐姐

我只开了bt软件下载和上传的接口，安全吗

—— 来自 vivo V1981A, Android 11上的 S1Next-鹅版 v2.5.2-play

caibing

系统日志里经常看到大洋对岸IP的连接尝试

—— 来自 samsung SM-G9910, Android 12上的 S1Next-鹅版 v2.5.2

雪影

一直用zerotier

—— 来自 Xiaomi Redmi K20 Pro, Android 10上的 S1Next-鹅版 v2.5.2

liwangli1983

我家nas是gentoo linux，开了ssh端口，但路由那边对外暴露的不是22，也经常有人扫，经常登上去log都被刷屏了，不过因为用的是证书所以基本不可能被暴力破解，但日志看着也烦。

后来在路由（routeros）防火墙加了防ddos的规则，限定时间内连接次数超了就直接ban ip到12个小时，就清净多了，开机几天已经drop掉几十万个包了

natt

这玩意太折腾了

Benighted

俺是绝对不会在自家路由器上直接对外开放服务的，只留个wireguard VPN。

5long

天气姐姐 发表于 2022-1-27 07:52
我只开了bt软件下载和上传的接口，安全吗

—— 来自 vivo V1981A, Android 11上的 S1Next-鹅版 v2.5.2-pla ...

不好说, 现在还没公布漏洞的细节
如果要我猜测
厂商自研软件出问题的嫌疑最大
成熟 & 及时更新到新版的 BT 软件应该没什么大问题

再就是 UPnP 在 NAS / 路由器上可能是默认自动开启的
如果一直没去关注过这个, 可能会中招
昨晚我看了下自己家的联通光猫
根本没找到哪里能配置 UPnP
恐怕是一直默认开启了

Jet.Black

nas上公网太可怕了，有点啥事直接数据一锅端。

上公网这么可怕的是还得用服务器

褪色的雪花

蒲公英x1这种应该没问题？

—— 来自 Xiaomi Mi9 Pro 5G, Android 11上的 S1Next-鹅版 v2.5.2

13号

直接QNAP里把upnp关了。
应该问题不大了，就局域网内部用用。

kyanno

这几天重新布置书房，前几天刚把NAS关机了一直没开

Benighted

建议有空时用工具从外网全端口扫一遍自家的公网IP。今天看这新闻又检查了一遍，只有qnap downloadstation的4433 6881两个BT端口通过upnp映射出去了。

逆袭的黑月

赶紧登录NAS关机了,晚上再回去仔细弄一下安全设置

Benighted

Px4 发表于 2022-1-27 16:17
啥工具能弄？

先用nmap从外网扫路由器公网IP，发现的端口如果无法断定是哪个内网主机的话进内网扫整个网段，看有没有设备开放了对应端口，之后再在设备上看是什么服务监听这个端口，或者路由器直接关upnp

小贝伦

今天威联通官方表示，QNAP 全球安全中心发现，目前有一波针对 QNAP NAS 的攻击正在进行中，该伙犯罪分子采用 DeadBolt 的勒索软件，通过利用伪装的 NAS 登录页骗取管理员密码，随后对文件进行加密勒索，每个文件尾部都会加密成 deadb 后缀。

luffyzhou

小白一只，家里用的ts251，联通宽带有公网ip，路由是小米ax6000，需求是用qsync保证单位电脑和家里电脑部分文件同步，之前都是myqnapcloud域名，这次在qnap里关闭了upnp，还需要做什么？

—— 来自 samsung SM-G9810, Android 12上的 S1Next-鹅版 v2.5.2-play

愉悦的麻婆

nas买来玩pt的，里面全是电影剧集应该没什么事吧

—— 来自 S1Fun

5long

luffyzhou 发表于 2022-1-30 19:26
小白一只，家里用的ts251，联通宽带有公网ip，路由是小米ax6000，需求是用qsync保证单位电脑和家里电脑部分 ...

顶楼的官方公告里建议的就只有：关闭各种形式的端口转发(包括手动配置的, 和 UPnP)
官方推荐使用 myQNAPcloud
威联通的微信公众号还额外推荐更新到最新版

我自己的 NAS 是用了 Tailscale 这个 VPN 服务
而不是用 QNAP 的服务（况且我也没有 QNAP 的软硬件，只是看戏）

5long

愉悦的麻婆 发表于 2022-1-30 19:50
nas买来玩pt的，里面全是电影剧集应该没什么事吧

—— 来自 S1Fun

对勒索攻击方来说
实施攻击没多大成本（这个不确定，是猜的。但低成本的攻击才容易大规模实施）
你的 NAS 上有什么内容不重要
只要多攻破一个，就多一点收到赎金的可能性

类似于，骗你打钱的诈骗电话
就算你不会上当受骗
接电话浪费的时间也是你自己的损失

xt1225

威联通真是不省心。话说改用ipv6公网地址会安全很多吧，被黑客扫到的概率犹如大海捞针。

catxing

liwangli1983 发表于 2022-1-27 10:33
我家nas是gentoo linux，开了ssh端口，但路由那边对外暴露的不是22，也经常有人扫，经常登上去log都被刷屏 ...

ros的psd功能是吧？确实很不错。只ban12小时太仁慈了。我稍微调低了psd的阈值，但是直接加黑名单ban180天。额外加了一条规则，5分钟内三次尝试连22 3389这种敏感端口的，也ban180天。现在黑名单上2000个ip。

liwangli1983

catxing 发表于 2022-1-30 23:10
ros的psd功能是吧？确实很不错。只ban12小时太仁慈了。我稍微调低了psd的阈值，但是直接加黑名单ban180天 ...

一般12个小时足够了，我的观察是这种扫一般顶天扫5，6个小时，而且一周可能碰上那么一次吧，频率不高

而且表里加太多了也影响性能吧