请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
这是一个创建于 852 天前的主题,其中的信息可能已经有所发展或是发生改变。
不注意将 ssh 暴露到公网,很快就被攻破了 root 密码,植入了僵尸代码。。。
User [root] from [50.168.186.242] logged in successfully via [SSH]. admin@DiskStation:/usr/.work$ ls 31714944_172.18.140.24_sec_event_dict.pkl auth.sh heartalive.lock kworkers rule_descs.csv upx-3.96-amd64_linux.tar.xz xmr alert_descs.csv config.json hole_descs.csv linux_server64 secure.sh upx-3.96-arm64_linux.tar.xz yum.log alert_descs.xlsx getGraphData.ipynb index.html networkxAnalysis.ipynb tmp.f9F5g2gAHz work32 analysisPath.ipynb graphscopeAnalysis.ipynb ks-script-JLpxkR nohup.out true_rule_descs.csv work64 /usr/.work/work64 我自己使用都不是 root 用户,没想到这么容易攻破,即使系统封禁了一些 ip
第 1 条附言 2023-07-18 21:13:27 +08:00
结帖:
先破解 admin 密码,然后给 root 目录植入 ssh 公钥,然后 ssh 登录进行植入木马
植入的公钥是这个
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDc3BlbiQaznPT8TScrs9YIzmrpI9Lpa4LtCjB5z0LuQ4o6XwvzomxAixn2F1jaUl175Cxcg3PmUsPOLE+WeWicKqL2YZ46SotjZgnS6JjXpuZVi7V0DSiXu0itlwWDC9m8huBvUBSIsDCsgb9OeG6rlrCyZgTW+qZciK+KZ8rwlFp3CFyxoF2122ueOnl5pAUCy1iHqGun03dMdUxA1d3KnxSZ3NQrYiH69dc8/YhV4SriOW9psc0pv9KeBLF0OXHtEAdbnSlwfk2uTjjBMK0nDidl7wS52Ygi/H4+P+4EXkSzf4Jj4/L6P3c5rLC3/l3RFdo1T7EQ8fH6NsTYJNZ7 root@u911
先破解 admin 密码,然后给 root 目录植入 ssh 公钥,然后 ssh 登录进行植入木马
植入的公钥是这个
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDc3BlbiQaznPT8TScrs9YIzmrpI9Lpa4LtCjB5z0LuQ4o6XwvzomxAixn2F1jaUl175Cxcg3PmUsPOLE+WeWicKqL2YZ46SotjZgnS6JjXpuZVi7V0DSiXu0itlwWDC9m8huBvUBSIsDCsgb9OeG6rlrCyZgTW+qZciK+KZ8rwlFp3CFyxoF2122ueOnl5pAUCy1iHqGun03dMdUxA1d3KnxSZ3NQrYiH69dc8/YhV4SriOW9psc0pv9KeBLF0OXHtEAdbnSlwfk2uTjjBMK0nDidl7wS52Ygi/H4+P+4EXkSzf4Jj4/L6P3c5rLC3/l3RFdo1T7EQ8fH6NsTYJNZ7 root@u911
 | 1 yuanmomo 2023-06-10 22:29:17 +08:00 via iPhone 这个跟群晖没关系吧?那个 root 密码不能自己设置的么?感觉 ssh 不要公私钥,怎么都不安全 |
 | 2 ZRS 2023-06-10 22:31:33 +08:00 via iPhone  6 前提条件是你启用了 root 账户开启了 ssh 登陆还设置了弱密码吧 |
 | 3 blakejia 2023-06-10 22:32:48 +08:00 root 不是直接禁用的么? |
 | 5 wheat0r 2023-06-10 22:57:02 +08:00 你不说我都想不到还需要启用 root 用户 |
 | 6 monkey110 2023-06-10 23:10:29 +08:00 via Android 看到标题心里咯噔一声 ,看了内容一下就放松了 |
 | 7 ebioishiiii 2023-06-11 00:18:15 +08:00 所以你的密码是多少长度的大小写数字符号混用? |
 | 8 bao3 2023-06-11 00:25:25 +08:00 你是怎么启用了 root 的…… 再强的这全策略也防不住家贼。你自己的普通用户名本身就很难被猜到,更别说还要再匹配你的普通用户密码。你 ssh 居然是公网可以访问的,这个也奇葩……能同时满足这个组合的黑客,那真的是少了又少,更何况群晖本身是会屏蔽攻击者的 IP…… 好像是禁用一天? 不是群晖有问题,用巨婴思维看,整个地球都有问题,只有巨婴没问题。 |
 | 9 jiangzm 2023-06-11 01:02:34 +08:00 什么意思, 用正确的 root 密码, 系统要拦截下“非法”用户对吗? |
 | 10 UXha45veSNpWCwZR 2023-06-11 07:41:38 +08:00 via iPhone 那我的软路由 openwrt 不是很危险?外网 ipv6 的 80 端口直接访问,没有 ipv4 公网,用了 root 账号,非常弱的秘密。 要怎么办?重装系统,然后来个超级复杂的密码? 顺便问一下,怎么看软路由有没有中毒? |
 | 11 luckjoe680 2023-06-11 09:03:16 +08:00 @MeteorVIP 不开放公网 用 vpn 访问 |
 | 12 token10086 2023-06-11 10:43:10 +08:00 特地看了下我群辉上的默认配置 ``` #LoginGraceTime 2m #PermitRootLogin prohibit-password #StrictModes yes #MaxAuthTries 6 #MaxSessions 10 ``` 人家不是禁用了 root 登录吗。。。 |
 | 13 licong 2023-06-11 12:04:18 +08:00 我前几天也开放了,目前没事 |
 | 14 nigga 2023-06-11 16:47:30 +08:00 请问有哪个发行版系统你自己弱密码启用 root 公网访问不容易破的? |
 | 15 standin000 OP |
 | 16 gadore 2023-06-11 22:45:13 +08:00 @standin000 DSM7.0 默认就是关闭 admin 账号的,第一次设置需要设置自己的管理员账号名称,而且官方也强烈建议更换非 22 端口,官方还非常贴心地会使用安全检查定期提醒,如果你没有修改 22 端口的话。。。你是怎么把这一系列的安全措施全部开放给皇军带的路?还是说。。。你用的低版本? |
| 17 bao3 2023-06-12 01:32:54 +08:00 @standin000 实在点说,不应该用 admin 用户。从安全角度说,永远只能启用普通用户。另外就是复杂密码是必要的,用密码软件记下密码。 |
 | 18 Achophiark 2023-06-12 09:05:46 +08:00 方便与安全是矛盾的,可以只开内网 ssh,然后开启 secure signin |
 | 19 GoodRui 2023-06-12 12:39:22 +08:00 via Android @ZRS 是的,up 主苦心积虑帮黑客绕过了群晖的多道防护策略 @standin000 那我们可就不知道了。群晖是不启用 root 的。如果启用了,肯定是通过 ssh 或 telnet 进行了启用操作。 |
| 20 standin000 OP |
 | 21 TsubasaHanekaw 2023-06-14 11:00:42 +08:00 群晖 root 密码不就是你管理员的密码么. |
| 22 standin000 OP @TsubasaHanekaw root 密码不是 admin 的密码,要 root 登录必须用 ssh key ,但是 admin 被攻破后,root 登录就很容易了。 |
Select Language