V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
standin000
V2EX  ›  NAS

群晖的 root 密码保护太糟糕了

  •  
  •   standin000 · 2023-06-10 22:09:20 +08:00 · 3363 次点击
    这是一个创建于 567 天前的主题,其中的信息可能已经有所发展或是发生改变。

    不注意将 ssh 暴露到公网,很快就被攻破了 root 密码,植入了僵尸代码。。。

    User [root] from [50.168.186.242] logged in successfully via [SSH].
    admin@DiskStation:/usr/.work$ ls
    31714944_172.18.140.24_sec_event_dict.pkl auth.sh heartalive.lock kworkers rule_descs.csv upx-3.96-amd64_linux.tar.xz xmr
    alert_descs.csv config.json hole_descs.csv linux_server64 secure.sh upx-3.96-arm64_linux.tar.xz yum.log
    alert_descs.xlsx getGraphData.ipynb index.html networkxAnalysis.ipynb tmp.f9F5g2gAHz work32
    analysisPath.ipynb graphscopeAnalysis.ipynb ks-script-JLpxkR nohup.out true_rule_descs.csv work64
    /usr/.work/work64
    

    我自己使用都不是 root 用户,没想到这么容易攻破,即使系统封禁了一些 ip

    第 1 条附言  ·  2023-07-18 21:13:27 +08:00
    结帖:
    先破解 admin 密码,然后给 root 目录植入 ssh 公钥,然后 ssh 登录进行植入木马

    植入的公钥是这个
    ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDc3BlbiQaznPT8TScrs9YIzmrpI9Lpa4LtCjB5z0LuQ4o6XwvzomxAixn2F1jaUl175Cxcg3PmUsPOLE+WeWicKqL2YZ46SotjZgnS6JjXpuZVi7V0DSiXu0itlwWDC9m8huBvUBSIsDCsgb9OeG6rlrCyZgTW+qZciK+KZ8rwlFp3CFyxoF2122ueOnl5pAUCy1iHqGun03dMdUxA1d3KnxSZ3NQrYiH69dc8/YhV4SriOW9psc0pv9KeBLF0OXHtEAdbnSlwfk2uTjjBMK0nDidl7wS52Ygi/H4+P+4EXkSzf4Jj4/L6P3c5rLC3/l3RFdo1T7EQ8fH6NsTYJNZ7 root@u911
    22 条回复    2023-07-18 21:15:19 +08:00
    yuanmomo
        1
    yuanmomo  
       2023-06-10 22:29:17 +08:00 via iPhone
    这个跟群晖没关系吧?那个 root 密码不能自己设置的么?感觉 ssh 不要公私钥,怎么都不安全
    ZRS
        2
    ZRS  
       2023-06-10 22:31:33 +08:00 via iPhone   ❤️ 6
    前提条件是你启用了 root 账户开启了 ssh 登陆还设置了弱密码吧
    blakejia
        3
    blakejia  
       2023-06-10 22:32:48 +08:00
    root 不是直接禁用的么?
    GoodRui
        4
    GoodRui  
       2023-06-10 22:48:56 +08:00 via Android   ❤️ 1
    @ZRS 是的,up 主苦心积虑帮黑客绕过了群晖的多道防护策略
    wheat0r
        5
    wheat0r  
       2023-06-10 22:57:02 +08:00
    你不说我都想不到还需要启用 root 用户
    monkey110
        6
    monkey110  
       2023-06-10 23:10:29 +08:00 via Android
    看到标题心里咯噔一声 ,看了内容一下就放松了
    ebioishiiii
        7
    ebioishiiii  
       2023-06-11 00:18:15 +08:00
    所以你的密码是多少长度的大小写数字符号混用?
    bao3
        8
    bao3  
       2023-06-11 00:25:25 +08:00
    你是怎么启用了 root 的…… 再强的这全策略也防不住家贼。
你自己的普通用户名本身就很难被猜到,更别说还要再匹配你的普通用户密码。
你 ssh 居然是公网可以访问的,这个也奇葩……
能同时满足这个组合的黑客,那真的是少了又少,更何况群晖本身是会屏蔽攻击者的 IP…… 好像是禁用一天?

    不是群晖有问题,用巨婴思维看,整个地球都有问题,只有巨婴没问题。
    jiangzm
        9
    jiangzm  
       2023-06-11 01:02:34 +08:00
    什么意思, 用正确的 root 密码, 系统要拦截下“非法”用户对吗?
    MeteorVIP
        10
    MeteorVIP  
       2023-06-11 07:41:38 +08:00 via iPhone
    那我的软路由 openwrt 不是很危险?外网 ipv6 的 80 端口直接访问,没有 ipv4 公网,用了 root 账号,非常弱的秘密。
    要怎么办?重装系统,然后来个超级复杂的密码?
    顺便问一下,怎么看软路由有没有中毒?
    luckjoe680
        11
    luckjoe680  
       2023-06-11 09:03:16 +08:00
    @MeteorVIP 不开放公网 用 vpn 访问
    token10086
        12
    token10086  
       2023-06-11 10:43:10 +08:00
    特地看了下我群辉上的默认配置
    ```

    #LoginGraceTime 2m
    #PermitRootLogin prohibit-password
    #StrictModes yes
    #MaxAuthTries 6
    #MaxSessions 10
    ```

    人家不是禁用了 root 登录吗。。。
    licong
        13
    licong  
       2023-06-11 12:04:18 +08:00
    我前几天也开放了,目前没事
    nigga
        14
    nigga  
       2023-06-11 16:47:30 +08:00
    请问有哪个发行版系统你自己弱密码启用 root 公网访问不容易破的?
    standin000
        15
    standin000  
    OP
       2023-06-11 21:21:15 +08:00
    @GoodRui @bao3 @ZRS 群晖控制面板一直只有 admin 和 guest 两个用户,我怎么去启用的 root 账户,用群晖就是不想调操作系统,我一直用的 admin 登录,密码也是字母加数字八位。
    gadore
        16
    gadore  
       2023-06-11 22:45:13 +08:00
    @standin000 DSM7.0 默认就是关闭 admin 账号的,第一次设置需要设置自己的管理员账号名称,而且官方也强烈建议更换非 22 端口,官方还非常贴心地会使用安全检查定期提醒,如果你没有修改 22 端口的话。。。你是怎么把这一系列的安全措施全部开放给皇军带的路?还是说。。。你用的低版本?
    bao3
        17
    bao3  
       2023-06-12 01:32:54 +08:00
    @standin000 实在点说,不应该用 admin 用户。从安全角度说,永远只能启用普通用户。另外就是复杂密码是必要的,用密码软件记下密码。
    Achophiark
        18
    Achophiark  
       2023-06-12 09:05:46 +08:00
    方便与安全是矛盾的,可以只开内网 ssh,然后开启 secure signin
    GoodRui
        19
    GoodRui  
       2023-06-12 12:39:22 +08:00 via Android
    @ZRS 是的,up 主苦心积虑帮黑客绕过了群晖的多道防护策略
    @standin000 那我们可就不知道了。群晖是不启用 root 的。如果启用了,肯定是通过 ssh 或 telnet 进行了启用操作。
    standin000
        20
    standin000  
    OP
       2023-06-13 21:42:09 +08:00
    @GoodRui admin 用户不是 root 用户,admin 提升权限也需要 sudo ,难道我启用 ssh 登录就自动打开 root 账户了吗?
    @gadore 我当然换了 22 端口,但没啥用,攻击都是遍历整个端口网络。
    TsubasaHanekaw
        21
    TsubasaHanekaw  
       2023-06-14 11:00:42 +08:00
    群晖 root 密码不就是你管理员的密码么.
    standin000
        22
    standin000  
    OP
       2023-07-18 21:15:19 +08:00
    @TsubasaHanekaw root 密码不是 admin 的密码,要 root 登录必须用 ssh key ,但是 admin 被攻破后,root 登录就很容易了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2594 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 03:29 · PVG 11:29 · LAX 19:29 · JFK 22:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.