勒索0.06比特币：黑客是如何入侵群晖NAS的？

近日，360安全大脑接到多位用户反馈，其NAS服务器上文件被加密、文档无法正常打开。被攻击的服务器包括群晖、和威联通，皆为国内主流NAS品牌。

经360分析检测确认，问题为黑客入侵NAS系统之后，再远程植入勒索病毒文件，导致硬盘文件被全部加密（加密文件扩展名为.encrypt），黑客借此勒索0.06个比特币（约4300块人民币）。

网友反馈自家NAS被入侵

那么，黑客是如何入侵群晖等NAS系统的呢？

据悉，360安全团队通过对中招NAS主机进行日志分析之后发现，中招NAS上存在大量的桌面口令爆破记录和SSH口令爆破记录，并且在文件被加密前有通过桌面登录成功的记录。

简单来说，群晖等NAS主机，默认是会开启外部管理功能的（比如远程桌面、远程SSH命令行等），这样可以方便用户的日常使用，当然了，用户还需要在家里路由器上面进行相关的端口映射，才能从公网上面访问到NAS主机。

那么，黑客具体是如何知道用户家里的IP地址、已经入侵进去的呢？下面我给大家简单讲解一下，知道了黑客是如何进行攻击的，我们才能更好的保护好自己：

1、获取攻击目标：黑客自然不可能事先知道目标NAS主机的公网IP地址，但是他可以通过批量扫描端口的方式来获取目标，国内宽带运营商的公网IP地址段，网上是随意查得到的（详细到城市），所以，人家随意选取一段IP地址范围，通过端口检测工具就可以从中找出开通了外网功能的NAS主机，以群晖为例，把目标端口设定为5000、5001（群晖NAS的远程桌面端口），开始检测，等待结果。

用浏览器随便打开一个结果看看，果然，就是群晖NAS的远程桌面，当然了，没有密码是进不去的。

2、实施弱口令探测：那黑客接下来怎么样获得目标NAS的管理员密码呢，其实，是一个非常笨的办法-弱口令扫描，也是通过工具，把目标用户名设定为admin和root（6.0版本之前的默认用户名），密码自然是不知道的，于是，黑客就采用了密码字典的方式挨个尝试（当然了，不是手工，是软件全自动的），弱密码字典里面，包含了常见的各种弱密码，比如123456、888888、生日组合等，接下来，自然是等待了，虽然可能性非常低，但是总会有‘不小心的人’使用一些弱密码的。

3、植入勒索病毒：如果有幸拿到了某台NAS的密码，后面自然就简单了，登录进去，植入勒索病毒、加密硬盘数据。

上面，就是黑客实施NAS主机入侵的过程，也是很常见的入侵手段，那么对于咱们普通用户，怎样防范这种攻击方式呢？尤其是你家里也有NAS这些平台在用的话，其实，只要注意如下几点，就能轻松防范这种攻击手段了：

1、杜绝弱密码：这个很容易理解，密码足够复杂的话，黑客是死活都进不来的，弄个10几位长度的密码，加上大小写、加上符号，能爆破的几率为0.0000000001%。

2、修改默认端口：黑客寻找目标的第一步，就是撒网捕鱼式的通过默认端口进行探测，我们只要把默认端口修改掉，就能杜绝对方的进一步攻击，怎么改？很简单，路由器端口映射那里，把外网的5000改成其他不常见的端口，比如51525，内网则还是指向5000，以后自己使用外网访问的时候，记得通过新端口进行访问，至于SSH功能，用不着就关掉。

3、及时更新最新系统：以上两种措施，只能防御弱口令入侵这种方式，假设是NAS系统的原因出现漏洞，那就非常危险了，所以，要养成及时更新系统的好习惯。

好了，以上就是本次的分享内容，希望能对你有所帮助，网络安全是大事，马虎不得，大家都要引起注意，当然了，最安全的方法其实我还没说，那就是：断开外网使用，一台纯内网的NAS，神仙都没办法攻击到你，不过应该没几个人会这样做吧，失去外网功能，NAS的实用性会大打折扣的。