前两天有朋友微信问我:"我家路由器开了80端口转发给NAS,结果早上发现NAS里几个文件被删了,后台日志还有一堆陌生IP在扫SSH……是不是被黑了?"
先确认:你真被攻击了?
不是所有异常访问都等于被攻破。先看三件事:
① 登录路由器后台,进「端口转发」或「虚拟服务器」列表,核对规则是否被偷偷添加(比如多了一条指向192.168.1.100:22的TCP 22端口转发);
② 查「系统日志」或「安全日志」,找频繁失败的登录记录、来源IP集中出现、时间密集的连接请求;
③ 登录被映射的设备(如NAS、Windows电脑),用命令行查当前连接:
netstat -ano | findstr :22ss -tuln | grep ':22'立刻断开,别等
发现可疑转发规则,第一反应不是修漏洞,而是关掉它——直接在路由器里禁用或删除那条规则。哪怕只是临时停两小时,也能打断攻击链。很多自动扫描器是“扫到就试,试完就走”,断开后它大概率不会回头。
别裸奔:加个基础防护墙
光关转发不够,得设防。家用路由器一般支持「IP访问控制」或「防火墙规则」:
• 进入「安全设置」→「IP过滤」,添加一条规则:拒绝来自广域网(WAN)的所有IP访问你的内网设备IP(如192.168.1.100)的22、3389、5900等高危端口;
• 如果路由器支持「白名单模式」,更干脆:只允许你家宽带公网IP(或你手机4G/5G的IP段)能连SSH,其他一概拦住。
注意:别写死自己手机IP,因为运营商分配的IP会变,建议用动态DNS+脚本更新,或者直接用路由器自带的「允许指定地区」功能(部分华硕、群晖路由支持)。
换掉默认口令,这是底线
被攻破的十台设备里,八台输在密码上。检查被映射设备的账户:
• NAS管理员账号不能叫admin,密码至少12位,含大小写字母+数字+符号;
• Windows远程桌面账户禁用administrator,新建普通用户再提权;
• SSH服务(如OpenSSH)务必关闭密码登录,改用密钥对:
PasswordAuthentication no
PubkeyAuthentication yessudo systemctl reload sshd终极建议:能不用,就别开
很多人开80/443端口转发只为外网访问Home Assistant或监控页面,其实大可不必。换成DDNS+反向代理(如Nginx Proxy Manager),或直接用Tailscale、ZeroTier这类P2P组网工具,既不用暴露端口,手机连公司WiFi也能直连家里NAS,还不用操心防火墙规则。
端口转发不是洪水猛兽,但就像给自家大门装了个万能钥匙孔——钥匙管好,锁芯加固,再加道电子门禁,才真正踏实。