你的NAS也中了勒索病毒嗎?
防疫三步驟趕快照著做防堵病毒入侵!
這幾天黃SIR遇到很多客戶,使用NAS中了勒索病毒資料全部都被加密(目前加密似乎都是修改副檔名 .7z),似乎也有很多國外案例,為了防堵勒索病毒有以下幾個步驟可以協助大家先防堵起來可能會遭遇攻擊的機會,在等待原廠是否會有補救的修正檔。目前因為似乎最近遇到QNAP狀況比較嚴重,所以先寫Q牌的設定,S牌會在後續補上。
關閉對外連線
要防堵勒索病毒前,就要盡量把對外面的連結盡量降低,使用區網把NAS躲在防火牆的後面,只針對特定的port去開啟即可
那QNAP有送給每一個使用者一個免費的DDNS,這個也是一個駭客很喜歡去針對嘗試的方式,因為大家都是xxx.myqnapcloud.com
所以只要把名稱的字典輸入到xxx然後大量的ping看是否有回應就知道這個NAS有沒有活著,並進行攻擊
首先先在右上角的放大鏡搜尋處,打上myqnapcloud就可以看到,第一個出現的icon,就是我們要找的應用程式
進入以後左邊有好幾個選項,我們需要一一的關閉我們不需要的對外服務
a.關閉 啟用UPnP連接阜轉送
因為UPnP是通用的通訊協定可以透過NAS直接針對router發送指令將特定的port開啟,為了以防中毒後被開啟更多對外阜,因此關閉會是比較好的選擇
b.My DDNS
DDNS就是重要的地方了,因為QNAP有免費送給所有買NAS的使用者DDNS,讓客戶不用固定ip或是記住很長的ip網址,但是出現的問題就是全世界的用戶都只有前面不一樣
例如:
peter.myqnapcloud.com
andy.myqnapcloud.com
因為如此所有有心人士其實很好猜到要如何去找目前網路上活著的NAS
由於現在勒索病毒盛行,我們就先把myqnapcloud關掉,降低會被網路攻擊的機會
把右上角的綠色開啟,點選關閉變成灰色
c.myQNAPcloud Link
myQNAPcloud Link也是QNAP提供給使用者一個更方便的連線方式,是透過p2p的連線模式連回到NAS,所以可以不用設定防火牆的開阜達到連線NAS
不過也是風險存在於還是前部分的網址是qlink.to,雖然說這個連線是透過QNAP線上的服務做轉換,不過為了以防萬一還是先關起來
將右上角的綠色啟用點選,會變成灰色關閉
更換NAS預設連接阜
QNAP預設的連接阜是8080,如果沒有更改那就等於門開開得讓人近來,所以為了讓駭客更不容易猜到,我們可以把連接阜改成更特殊一點的連接阜,例如63251或是28401,盡量是沒有規則的並且在網路中比較少應用程式用到的連接阜,為了怕大家改到很常用的連接阜,以下提供的一個表讓大家改完可以測試一下是否有使用到很常用的連接阜,連結
更改連接阜的地方,在控制台
一般設定
系統連接阜
重要:大家記得如果改了連接阜,以後如果再使用myqnapcloud連線或是內網ip連線,後面都要加上 “:連接阜”
例如: 將8080改成63251,以後連線都要這樣打
peter.myqnapcloud.com:63251
防堵使用者入侵
NAS登入都需要使用者的帳號密碼,要通過才能登入讀取以及編輯文件,當新買來NAS預設的帳號密碼為admin/admin,不論警告提示在怎麼跳出來提醒使用者要更改預設帳號密碼,很多使用者就直接略過,就會造成非常容易被猜到,進而更改密碼或是中勒索病毒,所以黃sir以下會有兩個地方讓使用者比較困難猜中NAS帳號密碼進而攻擊NAS
a.IP存取保護
NAS可以透過很多種方式存取檔案,所以駭客有可能從各種連線方式嘗試登入,所以我們需要針對NAS常用的幾個登入方式防範駭客持續的測試帳號,造成帳號密碼被猜中的風險
控制台中->安全設定
將時間範圍拉到30分鐘,登入次數5次,就封鎖1天
這樣的好處就是在短時間內,登入錯誤低於5次,就封鎖一天﹐因為駭客在測試密碼都是短時間一直測試,所以30分鐘內只要超過我們設定的數量,就可以防堵一天
b.將admin帳號停用
在NAS中admin帳號為最高權限,所以很多攻擊者第一優先一定先用admin去嘗試攻擊NAS,只要猜對admin帳密就可以肆意的竄改以及攻擊,所以我們開一個跟admin帳號相同權限的帳號並把admin帳號停止住,這個方式可以避免到很多攻擊的機會
進入設定->使用者
建立一個新的使用者
權限在administrator打勾
使用新的使用者登入
並把admin帳號點選密碼icon,點選停用
安裝防毒更新系統
因為NAS中有太多種服務(虛擬機,linux,container,mail server),更多的服務就會有更多漏洞,所以需要常保持更新NAS
a.更新韌體
設定->韌體更新,點選韌體更新
盡量不要使用beta的更新,維持正式版會穩定很多
b.安裝惡意程式偵測
AppCenter->搜尋malware Remover
點選安裝即可
以上步驟就是黃sir建置過的NAS經驗談,使用了以上的方法,NAS問題狀況就會少很多,分享給大家。
更新2021/4/22 16:00
QNAP香港大大分享出來解掉病毒的方式
更新2021/4/22 19:19
原廠提供以下三個app請更新
– Multimedia Console
– Media Streaming add-on
– HBS3
希望大家都不要中勒索病毒,NAS頭好壯壯都沒事!!!
若還有遇到相關問題,歡迎聯絡蓋斯克科技:)
蓋斯克科技,專業的系統整合商。我們的目標就是協助客戶專注在客戶的專業領域上,其他IT資訊的產品都教給我們就好了。