我的 Nas 在内网且没有对外开放 22 端口, 怎么被尝试爆破了?

2023 年 11 月 1 日
 simonkimi

我的 Nas 是威联通的 TS-262C, 由于没申请公网 ip, 我使用 frp 穿透出去了 80 端口, 然后被外面服务器 nginx 反代加了 ssl

早上的时候突然收到被爆破的通知, 发现有人在对我 Nas 的 ssh 进行爆破, 但是我的 Nas 分明在内网, 22 端口我没有做内穿, 他是怎么访问到我的 Nas 的? 想不明白

最上面两个登录是我使用内穿的 web 面板尝试复现的, 也没法复现出 ssh

4904 次点击
所在节点    NAS
28 条回复
wyxls
2023 年 11 月 1 日
我没记错的话,FRP 没有鉴权机制吧。你能通过 FRP 跳板 80 访问 NAS ,自然别人也能扫到你跳板然后尝试访问
NessajCN
2023 年 11 月 1 日
你试试从外网终端 ssh root@[反代 ip] -p 80 是不是就会跳 ssh/sftp 的登录警告
Belmode
2023 年 11 月 1 日
那台公网服务器,估计已经穿了。
chocolate518
2023 年 11 月 1 日
感觉什么 22 80 8080 就别对外开了。。只要开了就会被扫
cherryas
2023 年 11 月 1 日
好像黑客最近突然爆发了,我的 frp 也被爆破了。
72MpQOSsJhyLs88N
2023 年 11 月 1 日
遇到脚本小子了,我的最近也是被撞门。不过我的 Admin 已经禁用,系统打了最新补丁,撞就撞吧
withero
2023 年 11 月 1 日
爆破应该都是国外 IP ,如是群晖可以在防火墙里轻松设置屏蔽外网 IP ,三条规则,第一条是允许内网 IP 段,第二条是允许国内 IP ,第三条是屏蔽全部。
thinkm
2023 年 11 月 1 日
不应该啊,这么看 FRP 有大漏洞
villivateur
2023 年 11 月 1 日
@cherryas 能细说一下 frp 被爆破的现象吗?预防一下
wyxls
2023 年 11 月 1 日
@withero 国内 IP 也有不少的,我群晖直接开的 7 天内 3 次登录失败永封,积累了 300 多个 IP 后就消停了
simonkimi
2023 年 11 月 1 日
@thinkm 不像是 frp 的问题, 如果是走服务器爆破的, 记录 ip 应该为我的跳板服务器, 但实际上到处的 ip 都有
cherryas
2023 年 11 月 1 日
@villivateur 其实和 frp 关系不大,就是开了远程一直被扫登录,把我的 admin 账号用户都扫停了。
thinkm
2023 年 11 月 1 日
@simonkimi 所以是你内网有机器被入侵了?然后用内网机器爆破你的 nas ?
MuSeCanYang
2023 年 11 月 1 日
我的群晖这两天也被扫了。不过密码设置好,配置弄好,不用担心。
NickX
2023 年 11 月 1 日
同 QNAP TS-262c ,22 端口关了,申请了公网 IP 做了 DDNS ,一直用得好好的。
nuII
2023 年 11 月 1 日
frp 是不是没加 token
usedTo404
2023 年 11 月 1 日
用 zerotier 吧,可以添加 trusted host
xlsepiphone
2023 年 11 月 1 日
群晖不怕扫,密码错误直接 ban ip 。
zololiu
2023 年 11 月 1 日
@withero 请问如果设置了登陆失败 3 次就自动屏蔽这个 ip 可以防止爆破吗
villivateur
2023 年 11 月 1 日
@zololiu 这就是 fail2ban 的原理

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/987351

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX