怀疑 nas 被黑客攻击
这个文档描述了一个用户的 nas 出现奇怪上下行流量的情况,用户怀疑自己被黑客攻击。在这篇文档中,用户描述了具体的问题和他们已经采取的行动,以及一些论坛上其他用户提供的建议和分析。最后,文档列出了一些待办事项,以帮助用户解决这个问题。
问题描述
- 用户的 nas 有奇怪的上下行流量,不确定是否被黑客入侵。
问题详情
- 用户的机场在套餐开始的第一天,流量莫名其妙地被使用了 20G 左右。
- 用户原以为是 PT 下载开了代理,但是关闭 PT 下载后上行流量还是很高,并且下行流量也几乎跑满。
- 使用 iftop 查看上行流量的连接,发现了几个奇怪的 IP 地址:91.222.155.56、46.185.19.250、209.192.235.54、92.60.179.163。
- 其中 209.192.235.54 是美国 IP 地址,而代理里边本来有美国节点,其他三个 IP 地址通过查询得知是 wkl 的 IP 地址,但是用户的机场配置文件里并没有 wkl 的节点。
- 把 clash 容器关掉,上下行流量就正常了,重新开启 clash 容器,上下行流量又异常。
问题分析
- @WJackson 建议关闭“允许局域网连接”试试。
- @iBugOne 认为是 clash 开在公网上被人扫到直接拿来用了。
- @iGmainC 表示自己的 nas 应该不是公网 IP。
- @xgfan 建议查看 clash 的容器,可能是挂马了。
- @halfdb 建议检查 ipv6 是否开防火墙。
待办事项
- 关闭“允许局域网连接”试试
- 检查是否开启公网访问
- 查看 clash 容器是否被挂马
- 检查 ipv6 是否开防火墙
