作者: Okt04175 時間: 2021-12-17 22:37 標題: 用S記NAS唔想畀log4j2漏洞搞到就停用咗Guest帳號同QuickConnect先
本帖最後由 Okt04175 於 2021-12-18 16:54 編輯
我畀log4j2漏洞問題燒到埋身,一查發現係同Guest帳號同QuickConnect有關,唔係隻私人NAS啲HDD突然嘈咗接近兩日唔去查下都唔知log4j2漏洞問題會同NAS有關。
「而家問題係QuickConnect Server有漏洞畀駭客入侵攞到Client連線資料咁先搵到我新嗰部NAS,繼而嘗試用Guest身份同埋各種協議連過嚟炸。之前都冇事,一有事就係開咗QuickConnect嗰部先有事。」
如果有用Synology NAS記得「停用Guest帳號同QuickConnect」甚至再喺Router攞過新嘅動態IP,我新嗰隻Synology NAS「開咗QuickConnect同埋冇停用Guest帳號」結果畀185.220.101.185呢個IP持續咁炸咗接近兩日 (185.220.101.185係駭客利用log4j2漏洞去進行攻擊嘅其中一個IP),舊嗰隻Synology NAS係「雖然冇停用Guest帳號但係冇開到QuickConnect」就完全冇事,懷疑QuickConnect Server已經奶晒野班駭客可以從QuickConnect Server嗰Client List再搵目標去攻擊入侵。
P.S.兩部NAS都有放Port出街。
駭客利用log4j攻擊IP情報
如下是我們截查到的利用 log4j2 漏洞進行攻擊的部份 IP 列表,有需要的使用者可根據該列表自行檢查:
104.244.72.115, 104.244.74.211, 104.244.74.57, 104.244.76.170, 107.189.1.160, 107.189.1.178, 107.189.12.135, 107.189.14.98, 109.237.96.124, 109.70.100.34, 116.24.67.213, 122.161.50.23, 131.153.4.122, 134.122.34.28, 137.184.102.82, 137.184.106.119, 142.93.34.250, 143.198.32.72, 143.198.45.117, 147.182.167.165, 147.182.169.254, 147.182.219.9, 151.115.60.113, 159.65.155.208, 159.65.58.66, 164.90.199.216, 167.71.13.196, 167.99.164.201, 167.99.172.213, 167.99.172.58, 171.25.193.20, 171.25.193.25, 171.25.193.77, 171.25.193.78, 178.62.79.49, 181.214.39.2, 18.27.197.252, 185.100.87.202, 185.100.87.41, 185.100.87.41, 185.107.47.171, 185.107.47.171, 185.129.61.1, 185.220.100.240, 185.220.100.241, 185.220.100.242, 185.220.100.243, 185.220.100.244, 185.220.100.245, 185.220.100.246, 185.220.100.247, 185.220.100.248, 185.220.100.249, 185.220.100.252, 185.220.100.253, 185.220.100.254, 185.220.100.255, 185.220.101.129, 185.220.101.134, 185.220.101.134, 185.220.101.138, 185.220.101.139, 185.220.101.141, 185.220.101.142, 185.220.101.143, 185.220.101.144, 185.220.101.145, 185.220.101.147, 185.220.101.148, 185.220.101.149, 185.220.101.153, 185.220.101.154, 185.220.101.154, 185.220.101.156, 185.220.101.157, 185.220.101.158, 185.220.101.160, 185.220.101.161, 185.220.101.163, 185.220.101.168, 185.220.101.169, 185.220.101.171, 185.220.101.172, 185.220.101.175, 185.220.101.177, 185.220.101.179, 185.220.101.180, 185.220.101.181, 185.220.101.182, 185.220.101.185, 185.220.101.186, 185.220.101.189, 185.220.101.191, 185.220.101.33, 185.220.101.34, 185.220.101.35, 185.220.101.36, 185.220.101.37, 185.220.101.41, 185.220.101.42, 185.220.101.43, 185.220.101.45, 185.220.101.46, 185.220.101.49, 185.220.101.54, 185.220.101.55, 185.220.101.56, 185.220.101.57, 185.220.101.61, 185.220.101.61, 185.220.102.242, 185.220.102.249, 185.220.102.8, 185.38.175.132, 185.83.214.69, 188.166.122.43, 188.166.48.55, 188.166.92.228, 193.189.100.195, 193.189.100.203, 193.218.118.183, 193.218.118.231, 193.31.24.154, 194.48.199.78, 195.176.3.24, 195.19.192.26, 195.254.135.76, 198.98.51.189, 199.195.250.77, 204.8.156.142, 205.185.117.149, 20.71.156.146, 209.127.17.242, 209.141.41.103, 2.10.206.71, 212.193.57.225, 217.163.23.58, 23.129.64.131, 23.129.64.131, 23.129.64.141, 23.129.64.146, 23.129.64.148, 45.12.134.108, 45.137.21.9, 45.153.160.131, 45.153.160.138, 45.155.205.233, 46.166.139.111, 46.182.21.248, 51.15.43.205, 51.255.106.85, 54.173.99.121, 62.102.148.69, 62.76.41.46, 68.183.198.247, 68.183.44.143, 72.223.168.73, 81.17.18.60, 88.80.20.86
作者: fakeman 時間: 2021-12-18 04:05
我畀log4j2漏洞問題燒到埋身,一查發現係同Guest帳號同QuickConnect有關,唔係隻私人NAS啲HDD突然嘈咗接近 ...
Okt04175 發表於 2021-12-17 22:37
俾人 attack vs 真係有漏洞係兩件事來的。所有 service 放出街都要預咗有呢種風險。仲有,俾人炸,你又點知佢哋係利用緊 log4j 漏洞呢?淨係貼 IP 咩都睇唔到
作者: Okt04175 時間: 2021-12-18 10:41
本帖最後由 Okt04175 於 2021-12-18 10:58 編輯
回覆 2# fakeman
而家問題係QuickConnect Server有log4j漏洞畀駭客入侵攞到Client連線資料咁先搵到我新嗰部NAS,繼而嘗試用Guest身份同埋各種協議連過嚟炸。之前都冇事,一有事就係開咗QuickConnect嗰部先有事。
我已經提到炸我嘅IP係 185.220.101.185
(185.220.101.185係駭客利用log4j2漏洞去進行攻擊嘅其中一個IP)
我都想唔關QuickConnect Server事,但係目前搵到嘅線索都表示係QuickConnect Server連累到我受攻擊。
如果你有辦法推翻我嘅懷疑,我都高興嘅,冇人想自己幫襯間公司奶嘢。
作者: sbg 時間: 2021-12-18 10:53
我畀log4j2漏洞問題燒到埋身,一查發現係同Guest帳號同QuickConnect有關,唔係隻私人NAS啲HDD突然嘈咗接近 ...
Okt04175 發表於 2021-12-17 22:37
做參考
作者: fakeman 時間: 2021-12-18 14:19
回覆 fakeman
而家問題係QuickConnect Server有log4j漏洞畀駭客入侵攞到Client連線資料咁先搵到我新嗰部N ...
Okt04175 發表於 2021-12-18 10:41
要我推翻?唔係嘛,首先你連 attack pattern 都冇貼,有 d 人用 snort/suricata 果d check 到就會知,你而家只係話有人不停撞你,我話係肺炎病毒變種入侵 network 都得啦下話?再講,而家你係指控緊 Quick Connect server 俾人入侵成功
Log4j2 漏洞,要有安裝先會中招,其實 S 記已經貼咗話旗下產品冇用到 log4j2.
https://www.synology.com/en-glob ... y/Synology_SA_21_30
作者: rfdingo 時間: 2021-12-18 15:02
本帖最後由 rfdingo 於 2021-12-18 15:05 編輯
會唔會nas 本身就放左d port/upnp 放左出街?
作者: ChingTszHong 時間: 2021-12-18 15:21
提示: 作者被禁止或刪除 內容自動屏蔽
作者: Okt04175 時間: 2021-12-18 16:20
會唔會nas 本身就放左d port/upnp 放左出街?
rfdingo 發表於 2021-12-18 15:02
新舊機都有放Port出街,但係得開咗QuickConnect部新機有事,舊機冇開QuickConnect完全冇事。
作者: Okt04175 時間: 2021-12-18 16:35
要我推翻?唔係嘛,首先你連 attack pattern 都冇貼,有 d 人用 snort/suricata 果d check 到就會知 ...
fakeman 發表於 2021-12-18 14:19
官方公告係提到賣到去客手上用緊嘅野無事,但都係隻字不提喺佢公司嘅QuickConnect Server。
你有時間嘅話可以自己搵兩部Synology NAS去試驗下,我就停用咗QuickConnect同Guest之後仲要慢慢檢查畀嗰個Guest連線掂過嘅Share Folder入面啲File有冇加過料落去,冇心機再深究呢個問題。
算啦,當係我錯啦,千錯萬錯QuickConnect Server都冇錯啦。
作者: ChingTszHong 時間: 2021-12-18 17:10
提示: 作者被禁止或刪除 內容自動屏蔽
作者: jackwong717 時間: 2021-12-18 17:23
我一部黑一部白都有開qc,
唔覺有問題
Android 紅米note8pro
作者: rfdingo 時間: 2021-12-18 19:05
本帖最後由 rfdingo 於 2021-12-18 19:07 編輯
新舊機都有放Port出街,但係得開咗QuickConnect部新機有事,舊機冇開QuickConnect完全冇事。 ...
Okt04175 發表於 2021-12-18 16:20
首先呢.....你新舊機都有放Port出街
係指同時1個地點1粒 公共ip 都用5000,5001放出街?????
再者....放出街 唔關guest.....簡直係色膽包天
作者: Okt04175 時間: 2021-12-18 19:15
本帖最後由 Okt04175 於 2021-12-18 19:27 編輯
首先呢.....你新舊機都有放Port出街
係指同時1個地點1粒 公共ip 都用5000,5001放出街????? ...
rfdingo 發表於 2021-12-18 19:05
同一地點同一公共IP,舊機 5000同5001,新機 5100同5101,咁樣4個Port出街,新機唔係用緊預設Port架喇,Router係Synology嘅RT2600ac都冇開到QuickConnect,新NAS係唯一開咗QuickConnect嘅野。
今次緊要File冇事當係入侵者嘅貼心提醒啦。
作者: fakeman 時間: 2021-12-18 23:08
官方公告係提到賣到去客手上用緊嘅野無事,但都係隻字不提喺佢公司嘅QuickConnect Server。
你有時間嘅話 ...
Okt04175 發表於 2021-12-18 16:35
QuickConnect 呢刻有冇錯,我唔知,但 quickconnect 係一個 relay service,有冇 log4j 都好,佢都係照樣 relay(因為佢點會幫你區分邊個係正當 access?)
open to internet 嘅 server 其實真係好易被人狂撞,我之前就咁 port forward 就已經超多人撞,不過我 d user/password 係撞唔到,而且我會 set max retry 然後 block 佢
認真講,open to internet 嘅你都仲開 Guest account 我真係無野講,我自己 internal use 都絕對唔開 guest.....
你證明唔到,就咁用自己單一睇到嘅嘢,穿鑿附會咁去射人,仲發人老難,你最威啦
作者: hkkhost 時間: 2021-12-18 23:13
同一地點同一公共IP,舊機 5000同5001,新機 5100同5101,咁樣4個Port出街,新機唔係用緊預設Port架喇,Ro ...
Okt04175 發表於 2021-12-18 19:15
聽完您甘講,更加大機會是您個QC id 容易被猜出?
via HKEPC IR Pro 3.6.1 - iOS(3.0.0)
作者: fakeman 時間: 2021-12-18 23:15
回覆 Okt04175
人哋話俾你聽唔係,唔啱你心意,你就發晦氣。
ChingTszHong 發表於 2021-12-18 17:10
其實我唔係話 quickconnect 乜事都冇(我鬼知),而係我覺得樓主俾嘅資料根本不足以構成指控。萬一 quickconnect 被 hack,樓主又點知道係因為 log4j2?有開 quick connect -> 有人撞 = quickconnect 被 log4j2 hack
咁我 home router port forward -> 有人撞 = 我 home router 中咗 log4j2? 唔係嘛?
作者: rfdingo 時間: 2021-12-18 23:35
同一地點同一公共IP,舊機 5000同5001,新機 5100同5101,咁樣4個Port出街,新機唔係用緊預設Port架喇,Ro ...
Okt04175 發表於 2021-12-18 19:15
分兩件事睇
有做port FW
你router有無得 log到 行5100 既ip / 數量 <- 咁你關左qc都有 記錄就一定唔關qc事
開住qc 無做port fw 都有記錄到比人撞( nas 登入log?)
一係 qc個名易估,咁改個名再試下
一係 真係qc有事
作者: Okt04175 時間: 2021-12-19 00:05
回覆 17# rfdingo
就當係QC名太易估中,9個字有大細楷英文同符號咁都中真係冇話可說。
Synology Router度揾唔到Port連線記錄,考究唔到。
作者: fakeman 時間: 2021-12-19 01:04
回覆 rfdingo
就當係QC名太易估中,9個字有大細楷英文同符號咁都中真係冇話可說。
Synology Router度揾唔 ...
Okt04175 發表於 2021-12-19 00:05
有樣野叫 brute force attack.....佢唔使估,用電腦係咁 gen d 名出來周圍撞就得,呢樣野之前已經有出現過
作者: rfdingo 時間: 2021-12-19 02:18
有樣野叫 brute force attack.....佢唔使估,用電腦係咁 gen d 名出來周圍撞就得,呢樣野之前已經有 ...
fakeman 發表於 2021-12-19 01:04
要chk 咁緊係唔會理你係唔係brute force撞
我自己有駁qc個部個名 就好簡單既,係無關聯性者,又唔見brute force話撞就撞中
我只係就樓住個情況 提議一下佢或者做到/試到既野者
作者: fakeman 時間: 2021-12-19 02:47
要chk 咁緊係唔會理你係唔係brute force撞
我自己有駁qc個部個名 就好簡單既,係無關聯性者,又唔 ...
rfdingo 發表於 2021-12-19 02:18
我明,所以我先話,其實外來人要撞,其實你好難估佢點搵到你。你可以做嘅就係例如 block after XX attempt...盡量唔直接 open port to public
作者: andywinky 時間: 2021-12-19 07:02
你開guest已經好危險,s記有建議停用!
作者: ChingTszHong 時間: 2021-12-19 13:18
提示: 作者被禁止或刪除 內容自動屏蔽
作者: t1174-3 時間: 2021-12-20 13:21
記得新安 DSM, GUEST ACC 也是DEFAULT 也是OFF 的, 無啦啦又為何會開?
ANYWAY, 我有一D NAS 也是布用 QC (有個重 FIX IP), SO FAR 好像也沒問題?沒慢吵乜, 是不要用甚麼 LOG?
作者: 炎冬 時間: 2021-12-20 17:10
你開guest已經好危險,s記有建議停用!
andywinky 發表於 2021-12-19 07:02
guest default 是停用的, 要自己enable...
作者: eilot 時間: 2021-12-20 23:36
基本上路由器也好、NAS、操作系統也好,預設admin及guest帳號都是永遠關了,這是一定沒錯
不過印像中初次執行S記時,都會要你建立擁有admin權限帳號,之後登入後在帳號一覽表能看到已有的guest是已經關了,但忘了預設admin是否也是關的,
不過我都是一直用QC中,暫時都是沒事發生
作者: fakeman 時間: 2021-12-21 01:37
基本上路由器也好、NAS、操作系統也好,預設admin及guest帳號都是永遠關了,這是一定沒錯
不過印像中初次執 ...
eilot 發表於 2021-12-20 23:36
新機預設叫你唔好用 admin,我部 setup 咗十世嘅就係 update 後經常有 notification 叫我開個新嘅 admin account 再 disable "admin"
作者: wongja 時間: 2021-12-21 02:00
回覆 Okt04175
人哋話俾你聽唔係,唔啱你心意,你就發晦氣。
ChingTszHong 發表於 2021-12-18 17:10
成個post 最啱就係呢個reply
作者: freefdhk 時間: 2021-12-21 02:13
QUICKCONNECT 印象中BLOCK 唔到國家 .
S記既 SERVER 做左 CDN PROXY . 所以食晒.
任何人都可以開到你個連線服務 .
安唔安全自己有腦就知. 免費是最貴的.