群晖、威联通NAS被勒索

NAS只在内网使用，未开通外网端口映射。

这就是我不开公网IP的原因

不公开IP什么意思？

就问你怕不怕

两台 一台开外网了 一台没开 赶紧关掉 iOS fly ~

不开 公网IP，不是不 公开IP，仔细看

马上加强密码，取消外网访问，关ssh，关端口映射 发自降频ip7p

还好我的没有什么重要的东西
iOS fly ~

我的nas基本没有开机 iOS fly ~

因为这些问题而不开外网访问，有点因噎废食。毕竟用起来麻烦很多，除非确实是安全要求非常高的场合。

主要还是需要提高安全意识，弱口令是不能接受的，telnet这种不安全协议也是不能用的。SSH禁止密码登录，加fail2ban。其他高权限帐号启用2FA。这样，除非有新的0 day，不然被入侵的机会就非常小了。

然后，Snapshot、备份、异地多版本同步，都可以保证在发生意外时把损失降到最小。
再强调一次，RAID不是备份，RAID是为了高可用。在勒索病毒的场景下，任何一种RAID都救不了你。所以一般家用场景可以没有RAID，但一定不能没有备份。

回复2#数不清

下载怎么解决？

还好我的花生壳没弄好iOS fly ~

家里的蜗牛还没有升级，还是6.2.1，有没有推荐个升级的方法？
另外怎么加强外网防护？

不开公网那还养这些干嘛 iOS fly ~

回复11#lifanxi

问一句 如果选择nas自动在百度云之类的空间备份 会第一时间发现病毒吗？还是会把加密文件同步到云端

群晖有quickconnect啊

马克一下

坏文件也会被同步到云端。但是云端一般都会提供多版本历史记录，所以还是有机会恢复原样的。
抗勒索病毒最简单有效的做法是本地的Snapshot，可以一键恢复到历史版本，存储成本也极低。

这么吓人，回家赶紧改密码顶一顶

回复19#lifanxi

受教 谢谢

我做了**，连**后才能访问内网资源。

一直没搞懂snapshot是什么原理

只剩下 open为皮嗯 的端口，应该安全了把

群晖的场景下，是底层btrfs提供的功能。原理就是一份数据，多份元数据（文件索引），并且提供Copy on write的语义。

所以每次快照，就是把当前的元数据复制一份，所有的文件都不动。如果修改文件，就把当前的文件复制一份，把当前元数据指向这个新文件，然后进行修改。原来的文件就变成了历史版本。

以上是大概原理叙述，具体细节更复杂。

端口映射到外网一定要换端口号
不要内网外网完全一样，不然人家扫到5000就知道是群晖，可以用对应的工具来攻击。

关掉SSH，桌面登陆密码强度够，应该没问题吧？

无外网映射，且常年不开机

回复28#tonie
昨天刚开两步认证小尾巴~

利用nas外接移动硬盘备份历史版本可挽救吧？

赶紧去吧telnet和ssh关掉，应该没事了吧

我也是

在哪里开这个？没找着:sunglasses:

晚上回去检查下 都忘了设置什么了 ~ fly ~

我是回去重新设置下么

之前我黑裙中过挖矿木马，还是无意中看到cpu持续100%才发现的。

quickconnect 有可能会暴露，如果用了弱密码

我是在有公网IP的路由上开了一个$$ server，访问家里的服务都必须通过这个server，各个设备通过一套子域名映射内网IP来访问，$$ server通过DDNS来更新当前公网IP，很安全很方便的方案

那这个病毒是基于底层Linux来加密，是不是这个备份文件也被加密了？

我现在是用另外一台Windows电脑一周开机一次goodsync备份。至少一周前的文件还在不至于全军覆没。1月冷备份到移动硬盘一次。

我用windows server，没搞外网访问。应该是够安全的。

估计是用了比较弱的密码还有策略

回复39#insnct

如果它针对群晖的btrfs和快照逻辑进行攻击，确实是可以做到把快照一起破坏的。

加强密码+多次尝试拉黑
另一份硬盘脱机冷备份，防毒防坏盘~

回复42#lifanxi
那我的理解没错，黑客应该考虑到群晖的文件系统了。关闭ssh，telntelnet。冷备份还是要的小尾巴~

回复34#tonie
右上角个人头像-设置，点开第一个页面下方就是小尾巴~

人家说的不开-公网，结果到你这儿变成了不公开-网

早上看到消息立马远程关掉了 还好CHD考核已经通过了

请问一下，这个二步验证是通过什么方式？邮件吗？因为提示我要开邮件，还说会同步我的邮件联系人什么的:sunglasses:

仔细看文章，用的是口令爆破，就是试你的密码。我之前遇到过一个俄罗斯的ip一直尝试登录我的admin帐号，因为10次密码错误被群晖ban了ip。所以，应该做的第一步是用强密码以及禁用admin帐号

最近我的群晖一直禁止电信ip访问