群晖的 root 密码保护太糟糕了

请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in，那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动，会导致账号被禁用。

This topic created in 1077 days ago, the information mentioned may be changed or developed.

不注意将 ssh 暴露到公网，很快就被攻破了 root 密码，植入了僵尸代码。。。

User [root] from [50.168.186.242] logged in successfully via [SSH].
admin@DiskStation:/usr/.work$ ls
31714944_172.18.140.24_sec_event_dict.pkl auth.sh heartalive.lock kworkers rule_descs.csv upx-3.96-amd64_linux.tar.xz xmr
alert_descs.csv config.json hole_descs.csv linux_server64 secure.sh upx-3.96-arm64_linux.tar.xz yum.log
alert_descs.xlsx getGraphData.ipynb index.html networkxAnalysis.ipynb tmp.f9F5g2gAHz work32
analysisPath.ipynb graphscopeAnalysis.ipynb ks-script-JLpxkR nohup.out true_rule_descs.csv work64
/usr/.work/work64

我自己使用都不是 root 用户，没想到这么容易攻破，即使系统封禁了一些 ip

Supplement 1 · Jul 18, 2023

结帖：
先破解 admin 密码，然后给 root 目录植入 ssh 公钥，然后 ssh 登录进行植入木马

植入的公钥是这个
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDc3BlbiQaznPT8TScrs9YIzmrpI9Lpa4LtCjB5z0LuQ4o6XwvzomxAixn2F1jaUl175Cxcg3PmUsPOLE+WeWicKqL2YZ46SotjZgnS6JjXpuZVi7V0DSiXu0itlwWDC9m8huBvUBSIsDCsgb9OeG6rlrCyZgTW+qZciK+KZ8rwlFp3CFyxoF2122ueOnl5pAUCy1iHqGun03dMdUxA1d3KnxSZ3NQrYiH69dc8/YhV4SriOW9psc0pv9KeBLF0OXHtEAdbnSlwfk2uTjjBMK0nDidl7wS52Ygi/H4+P+4EXkSzf4Jj4/L6P3c5rLC3/l3RFdo1T7EQ8fH6NsTYJNZ7 root@u911

22 replies • 2023-07-18 21:15:19 +08:00

66Zi2nJk5Z6mdtzj

Jun 10, 2023 via iPhone

这个跟群晖没关系吧？那个 root 密码不能自己设置的么？感觉 ssh 不要公私钥，怎么都不安全

ZRS

Jun 10, 2023 via iPhone

前提条件是你启用了 root 账户开启了 ssh 登陆还设置了弱密码吧

blakejia

Jun 10, 2023

root 不是直接禁用的么？

GoodRui

Jun 10, 2023 via Android

@ZRS 是的，up 主苦心积虑帮黑客绕过了群晖的多道防护策略

wheat0r

Jun 10, 2023

你不说我都想不到还需要启用 root 用户

monkey110

Jun 10, 2023 via Android

看到标题心里咯噔一声，看了内容一下就放松了

ebioishiiii

Jun 11, 2023

所以你的密码是多少长度的大小写数字符号混用？

bao3

Jun 11, 2023

你是怎么启用了 root 的…… 再强的这全策略也防不住家贼。 你自己的普通用户名本身就很难被猜到，更别说还要再匹配你的普通用户密码。 你 ssh 居然是公网可以访问的，这个也奇葩…… 能同时满足这个组合的黑客，那真的是少了又少，更何况群晖本身是会屏蔽攻击者的 IP…… 好像是禁用一天？

不是群晖有问题，用巨婴思维看，整个地球都有问题，只有巨婴没问题。

jiangzm

Jun 11, 2023

什么意思，用正确的 root 密码，系统要拦截下“非法”用户对吗？

UXha45veSNpWCwZR

Jun 11, 2023 via iPhone

那我的软路由 openwrt 不是很危险？外网 ipv6 的 80 端口直接访问，没有 ipv4 公网，用了 root 账号，非常弱的秘密。
要怎么办？重装系统，然后来个超级复杂的密码？
顺便问一下，怎么看软路由有没有中毒？

luckjoe680

Jun 11, 2023

@MeteorVIP 不开放公网用 vpn 访问

token10086

Jun 11, 2023

特地看了下我群辉上的默认配置
```

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
```

人家不是禁用了 root 登录吗。。。

licong

Jun 11, 2023

我前几天也开放了，目前没事

nigga

Jun 11, 2023

请问有哪个发行版系统你自己弱密码启用 root 公网访问不容易破的？

standin000

Jun 11, 2023

@GoodRui @bao3 @ZRS 群晖控制面板一直只有 admin 和 guest 两个用户，我怎么去启用的 root 账户，用群晖就是不想调操作系统，我一直用的 admin 登录，密码也是字母加数字八位。

gadore

Jun 11, 2023

@standin000 DSM7.0 默认就是关闭 admin 账号的，第一次设置需要设置自己的管理员账号名称，而且官方也强烈建议更换非 22 端口，官方还非常贴心地会使用安全检查定期提醒，如果你没有修改 22 端口的话。。。你是怎么把这一系列的安全措施全部开放给皇军带的路？还是说。。。你用的低版本？

bao3

Jun 12, 2023

@standin000 实在点说，不应该用 admin 用户。从安全角度说，永远只能启用普通用户。另外就是复杂密码是必要的，用密码软件记下密码。

Achophiark

Jun 12, 2023

方便与安全是矛盾的，可以只开内网 ssh,然后开启 secure signin

GoodRui

Jun 12, 2023 via Android

@ZRS 是的，up 主苦心积虑帮黑客绕过了群晖的多道防护策略
@standin000 那我们可就不知道了。群晖是不启用 root 的。如果启用了，肯定是通过 ssh 或 telnet 进行了启用操作。

standin000

Jun 13, 2023

@GoodRui admin 用户不是 root 用户，admin 提升权限也需要 sudo ，难道我启用 ssh 登录就自动打开 root 账户了吗？
@gadore 我当然换了 22 端口，但没啥用，攻击都是遍历整个端口网络。

TsubasaHanekaw

Jun 14, 2023

群晖 root 密码不就是你管理员的密码么.

standin000

Jul 18, 2023

@TsubasaHanekaw root 密码不是 admin 的密码，要 root 登录必须用 ssh key ，但是 admin 被攻破后，root 登录就很容易了。