近期有部分群晖、威联通等NAS设备受到勒索软件攻击的案例。相关文件在被加密后将无法正常访问,攻击者通常会要求支付一定金额作为解密条件。
根据对相关设备日志的分析,部分案例中存在账户密码被尝试破解的情况,例如通过远程登录方式(如SSH等)进行访问尝试,并在成功登录后实施加密操作。相关厂商说明,此类情况多与弱密码或安全配置不足有关,而非系统本身漏洞。因此,加强账户安全及访问控制措施尤为重要。
一般来说,NAS设备支持远程管理功能(如远程访问、命令行管理等),在配置公网访问时,需结合网络环境进行合理设置,以满足使用需求。
那么,攻击者通常是如何获取设备访问路径并尝试入侵的呢?
攻击者如何入侵群晖 Synology NAS 设备?
1、获取目标设备:
攻击者通常不会预先掌握具体设备信息,而是通过网络扫描等方式寻找可访问的目标。例如,在一定范围内对常见服务端口进行检测,从而识别已开放远程访问功能的设备。以群晖NAS为例,其常见管理端口包括5000和5001,若相关端口对公网开放,可能会被扫描工具识别,从而成为潜在访问目标。
用浏览器随便打开一个结果看看,果然,就是群晖NAS的远程桌面,当然了,没有密码是进不去的。
2、弱口令探测
攻击者通常会通过弱口令扫描的方式尝试获取NAS管理员权限。常见做法是将用户名设定为admin、root(常见的默认用户名),并结合密码字典进行自动化尝试。
弱密码字典中通常包含常见组合,如123456、888888、生日等简单密码。虽然单次成功概率较低,但由于自动化工具可持续尝试,仍存在被破解的风险。
3、植入勒索程序
一旦攻击者获取到NAS的登录权限,可能进一步登录系统并部署恶意程序,例如对存储数据进行加密,影响正常使用。
以上为常见的NAS入侵方式之一。那么,对于普通用户,应如何有效防范此类风险?
注意以下几点,可有效降低群晖 Synology NAS 遭受勒索程序攻击的风险:
1、停用默认管理员账号
建议在控制面板中新增具备管理员权限的账号,并停用系统默认的 admin 账号,以降低被暴力破解的风险。
2、避免使用弱密码
建议设置复杂度较高的密码(如包含大小写字母、数字及符号),并定期更换,以提升账号安全性,降低被破解的可能性。
3、修改默认端口
默认端口容易被自动化扫描工具识别,建议通过路由器端口映射修改外网访问端口,并关闭不必要的服务(如不使用SSH时可关闭),以减少暴露面。
4、启用登录失败封锁机制
在控制面板中开启登录失败自动封锁功能,可有效限制多次尝试登录行为。
5、及时更新系统与补丁
建议保持DSM系统及相关套件为最新版本,以修复已知安全漏洞。
6、启用防火墙
通过控制面板启用防火墙,仅开放必要端口,降低潜在攻击风险。
7、使用安全检测工具
群晖系统提供“安全顾问”等工具,可对系统进行安全检测,帮助识别潜在风险并提供优化建议。
8、配置数据备份与版本管理
建议通过快照或多版本备份机制(如Hyper Backup等),在出现异常时可恢复历史数据版本。
9、加强文件权限控制
在进行文件共享时,建议设置访问密码、有效期,并合理配置权限,避免数据被未授权访问。
