求各位大佬看看我的 NAS 机器是不是被攻击了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in，那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动，会导致账号被禁用。

这是一个创建于 203 天前的主题，其中的信息可能已经有所发展或是发生改变。

这是昨天晚上的，我把进程杀掉了

这是今天早上的，又冒出来了

我的系统是 Unraid

平时正常的时候 CPU 占用不超过 20% ，而且我只有两个账户，一个 root ，一个 byp, byp 从来不用
我没有公网 IP v4 和 v6 ，用的内网穿透，主要用 cloudflared 和 frp ，没有做任何防护

第 1 条附言 · 202 天前

![image.png]( https://imgbed.baiyapeng.cc/file/www/1744698177482_image.png)

第 2 条附言 · 202 天前

第 3 条附言 · 202 天前

NAS

unraid

cloudflared

26 条回复 • 2025-04-16 21:00:39 +08:00

sduoduo233

203 天前

大概率是的

shcsc

203 天前

自从看到有个网友往 docke 里面投毒，控制了几百台主机，后面只要不是出名的应用，我都用的小心翼翼

ID404

203 天前

挖矿吧，查一下定时任务或者有什么异常的服务

LazyCatCloud

203 天前

应该就是的了。大佬可以把数据先备份出来吧，防止更多损害。

大佬，也可以了解一下懒猫微服，天生安全。下面有篇安全圈大佬的博客介绍:
www.zhaoj.in/read-8958.html

FrankAdler

202 天前 via Android

不会又是 docker 投毒吧

KingZZZZ

202 天前

unraid 、docker 都有可能，不一定就是外网的攻击。

XDiLa

202 天前

你估计 Unraid 用的破解版的

byp

202 天前

@sduoduo233 #1 难受

@tjiaming99 #2 以后确实要注意了

@ID404 #3 我自己设置的定时任务只有 rsync 备份

@LazyCatCloud #4 感谢，我了解一下，昨天还看到你们在 V 站抽奖了

@FrankAdler #5 不确定

@KingZZZZ #6 我查查吧，不行把 Unraid 换掉，用 FnOS 或者直接 Debian

@XDiLa #7 是的，我用的 Tank 的开心版，因为当时买的 Tank 的机箱，送了 Unraid 系统 U 盘

SenLief

202 天前 via iPhone

看下 load average 就不对了，应该是了，备份下数据重来吧。

zyp38263547

202 天前

user999 ，大概是 docker

hanssx

202 天前

不是，哪个 SB 骇客会同时启动这么多进程，巴不得隐藏进程隐藏端口隐藏通信

CherryGods

PRO

202 天前

@byp 感谢大佬关注。祝大佬能抽到想要的

lhsakudsgdsik

202 天前

https://cloud.tencent.com/developer/article/1834731
参考一下，我的经验就是先安装个 busybox ，因为很多系统命令都被篡改了根本删不了，然后看看有什么异常的出栈请求，找到地址给禁了

ThirdFlame

202 天前

有啥容器暴露在公网么（包括 frp ）

byp

202 天前

@SenLief #9 我的 nas 在我老家放着

@zyp38263547 #10 我看了所有 docker ，没有高占用 CPU 的

@hanssx #11 哈哈哈，就是说啊

@CherryGods #12 感谢大佬吉言

@lhsakudsgdsik #13 我看看吧，感谢大佬

@ThirdFlame #14 几十个 docker 容器都暴露了，包括 Postgres