黑群晖突然中了勒索病毒，每个文件夹都被放了这么一个文件，怎么排查从哪进的？

开了什么服务，外网能否可达

@imlonghao 昨天买了 vidhub ，jellyfin 端口没改，有开外网 而且今天才想起来读取的文件夹改只读权限，之前是读写，不知道和这个有没有关系。

@conglovely 没看懂，啥叫读取的文件夹？文件夹不都是可读取的吗？

vidhub 无关
jellyfin 端口没改 无关
读取的文件夹改只读权限，之前是读写 无关

你密码是弱口令吗

这么容易进来，有时间写写你的网络布局吗？
动态公网 I P ，需要时才开放虚拟服务器开放端口，默认用户名称调整，密码一个月改一次。不知道还有没有安全漏洞问题

@imlonghao #4 不会，大小写加符号的密码总的 9 位，复杂度应该够

@guisheng 还有一台 PVE 上的 win10 ，突然登陆不了，密码好像被改了，那台上有连接 NAS

什么版本的黑裙？

@conglovely 大概率是那台 win 破解进去的，然后把 sma 连接文件夹都改了。

@lxh1983 DS918+ 7.2.1 感觉是 PVE 上的 WIN10 搞的，那台也进不了了

诶？貌似我也有 win 连着群晖，有点怕…

所以 win10 可以公网访问还开了弱密码？

（包括但不限于黑）群晖不能及时更新系统，也容易被入侵。

希望能查明原因，有点可怕了。😑

@Yass 赶紧加强防护...

@geniussoft 系统是最新的，感觉是 PVE 上的 WIN 被搞了，现在重装并搞了复杂密码

排查密码是否太简单或是有电脑记住密码，然后这台机器密码太简单！不要问我为什么知道。。。

@conglovely 我看了我只有群晖开了外网端口，Win 是在内网的。你的 Win 是可以外网访问的吗？

@psh2129 嚓，可能就是这样了，还好狡兔三窟，放了几个地方😰

@Yass #18 开了 NPS 内网穿透😨

说个题外话，之前我下了一个蓝灯，不记得从那儿下的了，运行后电脑特别慢，我当时就感觉非常不对劲，直接杀进程，然后发现桌面的图片全部被加密了，还好我手快，电脑的照片还没遭殃。我尝试给勒索者发了邮件，没有回复，估计那个邮箱都失效了。

为啥都喜欢直接暴露公网？用个 vpn 回去很麻烦么？

NPS 已经 n 年没有更新了，到处都是 0 day ，这你还敢用。

@accelerator1 软路由做主路由运行爱快，爱快上 ddns 绑定域名，不做端口转发，内网 win10 运行 tailscale ，开 ssh ，登录方式为 public key && 登录密码，同时加 EvlWatcher 保护，n 次错误拉小黑屋，rdp 开关用 ssh 控制，ssh 和 rdp 的入站规则都只允许 100.64.0.0/10 网段（ tailscale 专属）；内网 linux 开 ssh ，登录方式为 public key+google 动态密码，加 fail2ban 保护，n 次错误拉小黑屋，这样可以吗，这两天才弄的。

@n2l 你的方案比楼主强多了，看起来是通过 vpn 连上家庭网络的。我们都是普通用户，其实宗旨只有一个，暴露公网的服务越少越好。

@Belmode 有没有替代的方案，我这 tailscale 非常慢😰

@conglovely 哈哈我也是，真羡慕大家又是 zerotier 又是 tailscale 轻轻松松。。。我打洞根本打不通。

@n2l #24 你这也太安全了

@accelerator1 #22 如果用户不止我一人，那很麻烦

@conglovely win 开了 nps 用的 rdp 远程访问的吧？

如果非要用 rdp 远程访问，建议不要开放 ipv4 的端口，做 ipv6 的 ddns+ipban+rdp 就保险多了。

@Satansickle #31 我这还没有 ipv6😰 目前是改了 RDP 端口再加复杂密码顶着

@conglovely 国内还有不通 ipv6 的地方？？普天之下不是王土了？

@Satansickle #33

@conglovely 干了光猫看看啊，大概率是光猫 pppoe 选项下没开 ipv4/ipv6

@Satansickle #35 我回去摸索看看，谢谢老哥

@conglovely 我一台机房跳板机，用 ipv6 的 ddns+ipban+rdp 快一年了，一个异常登录的记录都！没！有！，说明 ipv6 的安全性确实比 ipv4 高几个数量级！

@Satansickle 确实有啊。