群晖所说的大规模黑客攻击

事情是这样子的 昨天下午我收到群晖的通知 一个俄罗斯的IP尝试用admin的账户登录失败。我有公网IP 用的阿里云DDNS。我的DS718+禁用了admin账户 而且开了二次验证 所以俄罗斯的IP被堵住了。当时也没当回事。
相信大家很多人今天早上都收到了群晖关于昨天大规模Ransomware Attack的邮件，所以早上开机注意了一下log, 发现一个我不认识的IP通过DHCP分配IP。我重启了NAS两次 每次开机都有这条log。这个IP我还查不到 是保留地址。

各位大神帮我看看 是不是被攻击了？

没管它，反正过段时间就有，开了外网，基本都有

我的也有出現, 不過我沒把admin關閉, 我是更改port和密碼

sun8023 发表于 2019-7-25 09:49
没管它，反正过段时间就有，开了外网，基本都有

感谢！ 这是什么意思呢？一个我不认识的IP通过DHCP连接了NAS？我公网IP开了快一年了 之前都没这个log... 突然出现了

pengum 发表于 2019-7-25 09:53
我的也有出現, 不過我沒把admin關閉, 我是更改port和密碼

改Port口和密码是好主意 管用吗？ 之后log里还有吗？我感觉这个指令写在了系统启动时 一启动就会让别的IP连接呢。

不能說100%有用, 不過169這網段是無效網路?

我是开admin账户，端口改成几万以上的，密码改复杂的，登录用https，wan口端口只开放pt用的和登录用的，登录限制密码错误3次封10w分钟。从来没人来扫我。。。
我也是有域名的。

开了公网每天都有人ping你的机器，不要开ssh和管理员admin不开或者设置复杂密码即可

引用rfc5735里的解释

169.254.0.0/16 - This is the "link local" block.  As described in
   [RFC3927], it is allocated for communication between hosts on a
   single link.  Hosts obtain these addresses by auto-configuration,
   such as when a DHCP server cannot be found.

一个网络接口被配置了 DHCP 但是 DHCP 服务器并没有为其分配 IP 的话，这个接口就会自动给自己分配这个称为 link-local IPv4 address 的地址，或者用微软的叫法称为 Automatic Private Internet Protocol Addressing (APIPA).

也就是说，这个IP对于LZ的网络是无效的接口，并不能与网络内部的机器包括NAS进行通信，所以无需担心。

momo 发表于 2019-7-26 10:01
开了公网每天都有人ping你的机器，不要开ssh和管理员admin不开或者设置复杂密码即可 ...

哇塞 momo都来了！谢谢！谢谢！

kingzwj168 发表于 2019-7-26 10:16
引用rfc5735里的解释

一个网络接口被配置了 DHCP 但是 DHCP 服务器并没有为其分配 IP 的话，这个接口就会 ...

多谢 我懂了！找到原因了！DS718+有2个网口 这个IP是另外一个没连网线的IP... 所以不是黑客攻击！搞定了！谢谢大神！

我是开了失败几次就封锁100天
这两天有人SSH试我的密码