[爆卦]qnap病毒防護更新失敗是什麼?優點缺點精華區懶人包

為什麼這篇qnap病毒防護更新失敗鄉民發文收入到精華區:因為在qnap病毒防護更新失敗這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者Cubelia (大胸智乃)看板PC_Shopping標題Re: [情報] 華芸NAS遭到dea...


48小時內又出現新一波Deadbolt勒索,這次包含Qnap也有攻擊

當前用NAS有對外開Port或服務(含SSH)
尤其裸奔等用戶請務必更新系統 (杰哥:我看你是很勇喔)
記得檢查有沒有異常登入記錄(還有瘋狂試密碼的)

沒有開對外port或服務也建議檢查看看資料有無異常,斷網避個風頭

https://www.qnap.com/en-us/security-advisory/qsa-22-19
https://www.asustor.com/en/knowledge/detail/?id=6&group_id=630

當前QTS和ADM都有推出強化安全性的新版系統
但真的是只有慘能形容(才沒幾個月駭客又開鍘)

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.173.166.233 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1655561760.A.70F.html
※ 編輯: Cubelia (1.173.166.233 臺灣), 06/18/2022 22:27:39
ms0344303 : 現在用路由器vpn轉發順便用內建防 218.35.169.133 06/18 22:27
ms0344303 : 火牆都很方便了 直接開port的能操 218.35.169.133 06/18 22:27
ms0344303 : 作應該很少了 218.35.169.133 06/18 22:27
oppoR20 : 哈哈QNAP哈哈 哈哈華芸哈哈 42.73.199.88 06/18 22:57
oppoR20 : 學校一堆單位跟實驗室買QNAP 只能 42.73.199.88 06/18 22:58
oppoR20 : 說心臟真的很大顆 42.73.199.88 06/18 22:58
zhtw : 看了一下Q牌網頁說明220.143.103.115 06/18 23:02
zhtw : 這次是針對QTS4.X舊版系統的攻擊220.143.103.115 06/18 23:03
zhtw : QTS早就5.0了 不升級系統被攻擊220.143.103.115 06/18 23:03
zhtw : 那其實是自作自受220.143.103.115 06/18 23:03
oppoR20 : Qnap放生一堆NAS好嗎XD 42.73.199.88 06/18 23:05
oppoR20 : Dsm 7.0甚至2012的都可以裝 qnap t 42.73.199.88 06/18 23:07
oppoR20 : s 669p x86的被封印在qts 4.3.4 42.73.199.88 06/18 23:07
AreLies : https://i.imgur.com/MHHxYQK.png 122.117.70.8 06/18 23:08
zhtw : 669P 2012年的產品 不支援很正常220.143.103.115 06/18 23:13
zhtw : 過時硬體早該淘汰了220.143.103.115 06/18 23:14
oppoR20 : 其實大功能2018就被放生了 42.73.199.88 06/18 23:15
zhtw : 就算沒中毒 硬體也差不多掛了220.143.103.115 06/18 23:15
oppoR20 : 還活的好好的呢 42.73.199.88 06/18 23:15
fujisawa : Synology目前"安全性更新"最遠大該 111.240.164.9 06/18 23:17
fujisawa : 是在10年底到11年的機型 111.240.164.9 06/18 23:17
Rollnmeow : 所以自己架NAS到底有沒有搞頭 114.37.145.174 06/18 23:19
twinmick : 不要小看舊電腦的長壽威能,它只是 1.161.83.87 06/18 23:21
twinmick : 效能低而已,但是很耐用,家裡還有 1.161.83.87 06/18 23:21
twinmick : 台2008的Qnap NAS現在當備份的備份 1.161.83.87 06/18 23:22
AreLies : 自己架就是享受自己組的成就感 122.117.70.8 06/18 23:23
AreLies : 會玩硬體 自己組比較方便了 122.117.70.8 06/18 23:23
AreLies : 軟體的部份 資料都很好找 122.117.70.8 06/18 23:23
oppoR20 : 時間很多的話自己組nas沒什麼問題 42.73.199.88 06/18 23:23
oppoR20 : 品牌nas買的事軟體跟服務 42.73.199.88 06/18 23:23
zhtw : 然後我看了群暉2012的機種220.143.103.115 06/18 23:23
oppoR20 : 自己組要自己debug 軟體要自己找 42.73.199.88 06/18 23:23
AreLies : 拿個775四核來組 也夠用 122.117.70.8 06/18 23:24
zhtw : 12+系列也不支援 7.0啊220.143.103.115 06/18 23:24
oppoR20 : 喔喔 我看錯了 抱歉 42.73.199.88 06/18 23:24
oppoR20 : 但至少不是被放生4年 真的是在哭 42.73.199.88 06/18 23:25
zhtw : 群暉12系列NAS 也只支援到6.2220.143.103.115 06/18 23:25
Rollnmeow : 我手上的群輝是410j 已經停更了 114.37.145.174 06/18 23:26
Cubelia : DSM6.2.4還有在提供安全性更新 1.173.166.233 06/18 23:27
Cubelia : 部分款式7.0.1不能更新到7.1 1.173.166.233 06/18 23:27
Cubelia : 上次買的IO Data用的很爽XD 1.173.166.233 06/18 23:28
Cubelia : 用過NAS就真的胃口會養大 1.173.166.233 06/18 23:29
zhtw : Q牌也有安全性更新就是了220.143.103.115 06/18 23:29
zhtw : 不過 有些人就是不更新啊220.143.103.115 06/18 23:30
zhtw : 群暉上次炸也是炸在沒更新的舊系統220.143.103.115 06/18 23:31
zhtw : BUG早修了 使用者不更新廠商也無法220.143.103.115 06/18 23:31
zhtw : 過大版本支援週期就是汰換的時間了220.143.103.115 06/18 23:32
Rollnmeow : 我有點好奇能不能讓NAS軟體上 114.37.145.174 06/18 23:35
Rollnmeow : 跟外網隔絕,只能在區網內存取資料 114.37.145.174 06/18 23:35
Rollnmeow : 或是透過分享器設定的方式 114.37.145.174 06/18 23:36
fujisawa : 看部分QTS4.X的機型都還列在安全性 111.240.164.9 06/18 23:38
fujisawa : 更新列表內阿 111.240.164.9 06/18 23:39
Rollnmeow : 之前在儲存版問是說不要開SSH給外網 114.37.145.174 06/18 23:39
twinmick : NAS只開區網功能不就可以只在內網用 1.161.83.87 06/18 23:40
Rollnmeow : 我查看看DSM5.2能不能這樣設定 114.37.145.174 06/18 23:41
plug : DSM過保更新失敗燒主版過,不敢更新 114.36.197.208 06/19 00:03
plug : 內網順用就好,資料不見停工死更慘 114.36.197.208 06/19 00:04
ccbbaa : 群輝怎都沒事@@ 218.35.191.26 06/19 00:09
fonzae : 這是要看你對於服務的需求 220.135.27.187 06/19 00:13
fonzae : 若只針對內網,防火牆設定外對內 220.135.27.187 06/19 00:13
fonzae : 全禁就好,這很基本的方式 220.135.27.187 06/19 00:14
fonzae : 就算你NAS開SSH,也無法從外部連 220.135.27.187 06/19 00:14
fonzae : 進階點就是設pub金鑰才能登入 220.135.27.187 06/19 00:15
wbenjin : 對外開VPN就好了 要幹嘛一律進VPN 36.239.221.51 06/19 00:15
fonzae : VPN吞吐量會變差,要考慮IKEv2 220.135.27.187 06/19 00:16
fonzae : 若是透過NAS的VPN會更糟 220.135.27.187 06/19 00:16
fonzae : 最近跑了sstp、ovpn、ikev2 220.135.27.187 06/19 00:16
fonzae : 這三個檢測在ROS,前兩者僅能3MB/s 220.135.27.187 06/19 00:17
fonzae : 後者可到達10MB/s 220.135.27.187 06/19 00:17
fonzae : 上傳為100Mbps 220.135.27.187 06/19 00:17
fonzae : 不過對外開都會有風險,走VPN建議 220.135.27.187 06/19 00:18
fonzae : 走多因驗證,如憑證+帳密 220.135.27.187 06/19 00:18
fonzae : 若有radius更棒,結合token 220.135.27.187 06/19 00:19
fonzae : 結合AD或Ldap來記錄 220.135.27.187 06/19 00:19
fonzae : 不過大多NAS用戶應該很少SSH進去玩 220.135.27.187 06/19 00:20
fonzae : 像是放pub公鑰跟修改ssh登入方式 220.135.27.187 06/19 00:20
ccbbaa : 有實體ip 要能外網 要怎樣才安全呢@ 218.35.191.26 06/19 00:31
oppoR20 : NAS禁止外網 外網要存取NAS都透過V 42.73.199.88 06/19 00:33
oppoR20 : PN 基本上普通家用的這樣就很安全 42.73.199.88 06/19 00:33
oppoR20 : 了 42.73.199.88 06/19 00:33
oppoR20 : 服務沒事不要亂開 ssh美術館屌 真 42.73.199.88 06/19 00:34
oppoR20 : 的要用至少把預設22改掉 42.73.199.88 06/19 00:34
oppoR20 : 沒事關掉 42.73.199.88 06/19 00:34
fonzae : 大部分人會用SSH去連NAS嗎? 220.135.27.187 06/19 00:36
fonzae : 要思考的是這個,沒有就可以關閉 220.135.27.187 06/19 00:37
fonzae : 外網連入很多方法,多因驗證是一種 220.135.27.187 06/19 00:37
fonzae : 限定來源IP也是一種 220.135.27.187 06/19 00:37
ccbbaa : 可是我都在外面連進去開影片的說orz 218.35.191.26 06/19 00:39
fonzae : S牌NAS也有提供Google身分驗證 220.135.27.187 06/19 00:39
kaltu : 要在外面連就用VPN啊,一堆人都講了111.242.203.185 06/19 00:39
oppoR20 : 那你路由器就開特定port通過就好 42.73.199.88 06/19 00:40
oppoR20 : 其他的都不要開 42.73.199.88 06/19 00:40
oppoR20 : 最簡單就這樣 膽寒事不能保證安全 42.73.199.88 06/19 00:40
fonzae : 做好防範,定期修補沒那麼容易中獎 220.135.27.187 06/19 00:40
oppoR20 : 不能保證最安全 42.73.199.88 06/19 00:40
fonzae : 拿之前沸沸揚揚的log4j,也是修了 220.135.27.187 06/19 00:40
fonzae : 三次,重點還是在基礎防護札實 220.135.27.187 06/19 00:41
fonzae : 平常做好權限管控跟日誌查看 220.135.27.187 06/19 00:41
fonzae : 這也是資安一種 220.135.27.187 06/19 00:42
oppoR20 : 兩家防火牆我講的都可以擋地理位置 42.73.199.88 06/19 00:42
oppoR20 : 把只允許台灣ip放首位 42.73.199.88 06/19 00:42
kaltu : 隨便買個二手可以刷開源韌體看你要W111.242.203.185 06/19 00:45
kaltu : RT還是番茄的路由器,整台機子什麼111.242.203.185 06/19 00:45
kaltu : 功能都不開就只架設strongSwan,用111.242.203.185 06/19 00:45
kaltu : 憑證連線只有你要外連的手機筆電用o111.242.203.185 06/19 00:45
kaltu : ffline的方式copy憑證過去,連上VPN111.242.203.185 06/19 00:45
kaltu : 之後你要對根本沒接外網的NAS做什麼111.242.203.185 06/19 00:45
kaltu : 事都跟區網一樣了111.242.203.185 06/19 00:45
kuninaka : 我家NAS都放內網 61.227.111.139 06/19 01:08
ccbbaa : 多謝提供資訊>W< 我來搞搞看~~ 218.35.191.26 06/19 04:20
aegis43210 : S牌有按時更新,連外網風險也不高, 106.104.71.17 06/19 04:33
aegis43210 : 只連台灣IP就好 106.104.71.17 06/19 04:33
Baternest : admin帳號換掉 port也要改 然後ban 114.34.2.166 06/19 09:29
Baternest : 掉非台灣ip 114.34.2.166 06/19 09:29
Andosinjo : 請問群暉怎麼設定限制台灣ip 連線213.134.169.120 06/19 11:05
windjammer : Web對外服務套個cloudflare 可以擋 36.224.94.242 06/19 11:15
windjammer : 掉很多事情 免費好用 36.224.94.242 06/19 11:15
cp296633 : 控制台-安全性-防火牆-編輯規則 220.136.180.35 06/19 11:22
cp296633 : https://i.imgur.com/Tx9L9J8.jpg 220.136.180.35 06/19 11:26
cp296633 : nas防火牆白名單制+路由器端口轉發 220.136.180.35 06/19 11:27
cp296633 : 再用非固定ip+ddns 220.136.180.35 06/19 11:27
cp296633 : 設完再去google scan port online 220.136.180.35 06/19 11:37
cp296633 : 看看有該port對國外ip有沒有open 220.136.180.35 06/19 11:37
robinsonXD : 這波我中了 找不到原因= = 220.137.9.9 06/19 11:53
cp296633 : 半年固定冷備份就不怕片片被加密惹 220.136.180.35 06/19 11:55
tomsawyer : 你以為台灣ip不會被當作跳板攻擊嗎 180.217.5.183 06/19 12:14
rail02000 : 台灣IP當然也有風險,但能少一個風 1.165.195.111 06/19 12:24
rail02000 : 險是一個。我的NAS也是限定台灣IP 1.165.195.111 06/19 12:24
visa829 : 大部分間接手段本來就是降低中獎率 220.134.69.205 06/19 12:24
visa829 : 總不會有人說開放全球ip比只開放台 220.134.69.205 06/19 12:24
visa829 : 灣ip還安全吧... 220.134.69.205 06/19 12:24
cs8425 : 直接wireguard 又快又安全 218.161.13.77 06/19 13:19
cs8425 : 很閒的可以自己實做一套跳板系統 218.161.13.77 06/19 13:21
cs8425 : 要針對性攻擊才有辦法打穿 218.161.13.77 06/19 13:21
xiaotee : 推情報 101.9.201.243 06/19 14:41
PianoGuys : #1YcTvmcO 125.231.150.60 06/19 15:51
PianoGuys : 這篇適用於各種家用架NAS的網路規劃 125.231.150.60 06/19 15:52
sdbb : 樓上那篇在storage板 112.104.73.186 06/19 23:26
windjammer : #1YcTvmcO (Storage_Zone) 完整的118.161.184.239 06/22 19:16

你可能也想看看

搜尋相關網站