作者: sunplace

喜大普奔,NAS中勒索病毒

[MD]
发送时间: 2025年3月10日 6:13
收件人: ***
主题: Delivery status notification (failure).
您好!

请容我介绍一下自己——我是一名专业黑客,并且已成功黑进您的操作系统。

目前,我已经获得您账户的完整访问权限。

最重要的是,在过去的几个月里,我一直在偷偷地观察并监视您的一举一动。

这都是因为您的电脑被感染了恶意间谍软件,它是在您访问成人视频网站的时候被植入您电脑的。

请给我几分钟解释一下这对您的影响。在木马病毒的帮助下,我现在可以不受限制地访问您的电脑以及您拥有的其他所有电子设备。

也就是说,我可以不受任何限制地看到您屏幕上的所有内容,甚至可以随时在您完全不知情的情况下开启您电子设备上的摄像头和麦克风。

此外,我还可以不受限制地访问您的私密数据,包括电子邮件、聊天记录等。

您肯定想不通,为什么您的杀毒软件就没有检测到我的恶意软件呢?

我完全不介意给您解释一下:我的恶意软件是基于驱动的;因此它每隔4个小时就会刷新一次签名,这确保了它不会被您的杀毒软件检测到。

我制作了一部视频,这部视频的左半边显示的是您激情自慰的样子,而它的右半边显示的则是当时您正在观看的下流视频。ᵔ.ᵔ

相信我,只需要点击几下鼠标,我就能把这部视频分享给您的个人电脑或其它电子设备上的所有往来邮件地址和聊天软件联系人。

另外,我还可以轻松地公开您所有的电子邮件和聊天记录。

我知道,您肯定不希望发生这样的事情。

我这也确实有一个解决方法——把相当于990美元的比特币汇入我的比特币账户(操作方法很简单,但是如果您对此不甚了解的话,请在网上寻找详细教程)。

我的比特币账户信息如下(比特币钱包):1M2eLbFgRbmYgQUApuWEyGVc9axPqZXe7q

一旦我的账户收到上面提到的那笔汇款,我就会马上删除那些下流的视频,并从您的生活中永远消失。

请于50个小时(2天)之内完成这笔汇款。

在这封邮件被打开后,我会马上收到一个提示,并同时触发倒计时。

相信我,我是非常谨慎且专业的,从来不会出错。

如果我发现您把这件事情告诉了别人,我就会马上公开您的私人视频。

祝好运!

我只能笑了,原因就是在群晖NAS的VMM里做了个Win8.1,开启了noVNC(这不重要)和RPC(3389,取消了账户密码为空,且免输入,未安装杀毒软件,这也不重要,),中招的主要原因就是映射了一块网络硬盘到NAS,且使用的账户是NAS的管理员

导致所有文件被加密为xxxx{xxxx}.hush

处置流程:

  1. 发现问题之后第一步就是断网,关闭NAS,去除硬盘1接入电脑进行一个全盘格式化。
  2. 尝试使用恢复软件还原数据WinFR(Windows)或UFS Explorer Professional Recovery(Linux)。效果对iso、zip、heic基本无法恢复。
  3. 暂时使用硬盘1单独装在进NAS,硬盘2采用外接USB的模式,采用Hyper Backup定时备份到外接硬盘2。
  4. 优化网络安全:把NAS防火墙打开,设置仅局域网可以访问,只能允许外网访问特定的应用,把内网穿透的rfp的3389删除,关闭路由器的DMZ,打开路由器的防火墙,设置最高等级,将路由器的IPv6关闭。

禁止IP直接访问网站(含docker)

[MD]

引言

为了防范真实的IP地址暴露带来的危险,我们通常有以下做法:

  • WAF
  • 本机防火墙
  • CDN

万一IP真的暴露了呢?

使用 Firewalld 保护 Docker 端口

在docker容器中,我们采用反向代理,达到在浏览器中输入网址可以正常访问,输入IP地址(或IP+端口号)无法访问的目的。

1. 准备

清除所有 iptables 配置并重启 Docker。否则在启动 Nginx Docker 时可能会看到 failed: iptables: No chain/target/match by that name 错误

iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
systemctl restart docker

设置 SELINUX 权限

setenforce Permissive

永久设置 SELINUX 权限

修改 /etc/selinux/config 文件,设置 SELINUX=permissive,使其永久生效(需要重启)

2. 配置 Firewalld

停止 Docker

systemctl stop docker

在 firewalld 中重建 DOCKER-USER iptables chain(请忽略任何警告)

firewall-cmd --permanent --direct --remove-chain ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --remove-rules ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --add-chain ipv4 filter DOCKER-USER

添加 iptables 规则到 DOCKER-USER chain

firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 \
  -m conntrack \
  --ctstate RELATED,ESTABLISHED -j ACCEPT \
  -m comment --comment 'Allow containers to connect to the outside world'

firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 \
  -j RETURN \
  -s 172.17.0.0/16 \
  -m comment --comment 'allow internal docker communication'

提示: 172.17.0.0/16 是 Docker 的默认子网地址, 也可以改为你实际的 Docker 子网地址

为机器 192.168.51.245(公网IP) 配置允许访问Docker的端口(本例为nginx的80、443),优先级为1(您可以在以后添加更多优先级为 0 的规则。请参见下文)

firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 \
  -o docker0 \
  -p tcp -m multiport \
  --dports 80,443 -s 192.168.51.245/32 -j ACCEPT \
  -m comment \
  --comment 'Allow IP 192.168.51.245 to access http and https docker ports'

提示:这里的端口是指的 Docker 的内部端口 80,443,而不是映射的外部端口 8080,8443

阻止所有其他IP。 此规则的优先级最低,您可以稍后在此规则之前添加规则

firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 10 \
  -j REJECT -m comment --comment 'reject all other traffic to DOCKER-USER'

激活规则

firewall-cmd --reload

启动 Docker

systemctl start docker

配置Nginx

http{}中加入

server {
    listen 80 default;
    listen 443 default_server;    #使用https/443时启用
    ssl_certificate    /www/cert/certificate.pem; #任意证书位置
    ssl_certificate_key    /www/cert/privatekey.pem; #任意的私钥位置
    server_name _;
    return 444;
}

原文链接:
https://zhuanlan.zhihu.com/p/371683318

在Oracle Linux 9 中使用 noVNC

[MD] 
dnf group install "Server with GUI"

systemctl set-default graphical

reboot

sed '/^#WaylandEnable/s/^#//g' /etc/gdm/custom.conf

# VNCServer

dnf install -y tigervnc-server tigervnc-server-module

vncpasswd

restorecon -RFv $HOME/.vnc

echo ":1=$(whoami)"| sudo tee -a /etc/tigervnc/vncserver.users > /dev/null

systemctl daemon-reload

systemctl enable --now vncserver@:1.service

systemctl restart vncserver@:1.service

firewall-cmd --zone=public --add-service=vnc-server --permanent

firewall-cmd --reload

# noVNC

yum install git

wget https://github.com/novnc/noVNC/archive/refs/tags/v1.5.0.tar.gz

tar -zxvf v1.5.0.tar.gz

mv noVNC-1.5.0 noVNC

cd noVNC/utils

firewall-cmd --add-port=6080/tcp  --permanent

firewall-cmd --reload

vi /noVNC/utils/start.sh

# --start.sh 开始--
#!/bin/bash
/noVNC/utils/novnc_proxy --vnc localhost:5901 --listen 6080 &
# --start.sh 结束--

chmod u+x /noVNC/utils/start.sh

vi /etc/systemd/system/novnc.service

# --novnc.service 开始--
[Unit]
Description= noVNC  Service(noVNC)
After=tigervnc.target

[Service]
# backend running
Type=forking

ExecStart=/noVNC/utils/start.sh
ExecStop=/bin/kill -9 $(ps -e | grep 'receive' | awk '{print $1}')
Restart=on-failure

[Install]
WantedBy=multi-user.target
# --novnc.service 结束--

systemctl daemon-reload

systemctl enable novnc.service

systemctl restart novnc.service

# 输入法

yum install ibus-libpinyin

# 重启系统,在Applications>>Settings>>Keybord>>input Source中有个加号点添加

# 搜索chinese(Intelligent Pinyin) 点Add