据 NAS 制造商威联通发布的消息,威联通在 10 月 14 日时发现有一批 IP 地址对暴露在公网上的 NAS 服务器 (不止威联通品牌的) 发起攻击,这批 IP 地址使用密码词典尝试爆破那些使用弱密码的用户的 NAS 服务器。
10 月 14 日威联通检测到攻击后,威联通的产品安全事件相应团队立即采取行动,并通过 QuFirewall 防火墙拦截了数百个僵尸网络的 IP 地址。
拦截攻击的同时威联通发现发起攻击的数百个 IP 地址都只是受上级服务器控制的僵尸网络 IP,封掉这些僵尸网络 IP 是没什么用的,黑客可以随时换一批僵尸网络继续发起攻击。
不过威联通通过僵尸网络的一些蛛丝马迹找到了控制服务器,黑客使用的这台 C&C 服务器是 DigitalOcean 提供的,既然如此威联通就直接找到了 DigitalOcean。
根据 DigitalOcean 以及大多数云服务器 / VPS 服务器供应商的使用协议,使用服务器进行黑客行为都是违规的,因此 DigitalOcean 直接封掉了这台服务器。
C&C 服务器被封掉后下面那些僵尸网络 IP 也陆续停掉了,于是攻击停止了。
坏消息是这种靠封禁黑客服务器的做法并不能解决这类暴力破解问题,威联通提醒用户禁用 admin 账户、设置高强度密码不要使用弱密码、将威联通 NAS 固件更新到最新版本、安装并启用 Qufirewall 防火墙以及使用 myQNAPcloudLink 进行中继而不是将 NAS 直接暴露在公网上,另外还应该禁用 80/8080/443 这类常见端口。
威联通提的这些建议也适用于其他 NAS 服务器,除非必要不然不推荐将 NAS 暴露在公网上,对于群晖 NAS 等,如果一定要暴露在公网上,必须开着固件自动更新以及为账户设置两步验证,防止翻车。
