建议飞牛用户断网或者关机吧
今天发了个帖子https://forum.naixi.net/forum.php?mod=viewthread&tid=9545&page=1&mobile=2#pid125414
最新消息升级也不一定能解决,建议飞牛用户关机或者局域网运行吧
已经关机了 不知道我的有没有中招 后面排查一下吧 事实证明。网盘比NAS还安全 sooele 发表于 2026-1-31 22:49
事实证明。网盘比NAS还安全
网盘和谐限速啊,nas最主要是去中心化,不像某度直接用网盘照片训练ai 上次本来想装飞牛的,还好没装{:liuhan:} 只能慢慢排查了 毕竟周末应该不上班 赶紧拔网线吧 Moltbot 发表于 2026-1-31 23:02
上次本来想装飞牛的,还好没装
至少比黑裙靠谱 zikl 发表于 2026-1-31 22:44
已经关机了 不知道我的有没有中招 后面排查一下吧
目前已知存在如下严重 0 day 或 N day 漏洞:
任意路径访问
PoC: /app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
这个洞有测试称最早可以溯源到 fnOS 0.9.X 版本, 有称已经在 1.1.15 版本修复
路径穿越的这个洞的上游漏洞可能为 https://github.com/gin-gonic/gin/issues/4443(飞牛 trim_app_center 使用了 Gin 框架, v1.10.1 版本), 也是 Gin 框架的一个陈年老洞了
截至 1.1.8 还有一个更离谱的洞, 不清楚是否已经修复, 感兴趣的可以自行测试
WebSocket 接口任意命令执行
此漏洞由 v2ex 用户 patrickyoung 根据飞牛用户 xwmz1369 的反馈贴定位并逆向确定 怀疑是近期大量用户机器被入侵所利用的主要漏洞
PoC 参见由 patrickyoung 发布的帖子:https://www.v2ex.com/t/1189392?p=1#r_17275646
据称起码还存在一个 authorization bypass 漏洞
实例被入侵后自动更新被阻止, 导致大量暴露于公网的飞牛实例遭受严重安全威胁; 大部分用户将飞牛安装于物理机而不是容器化或虚拟化隔离, 加剧了危害性 请立即停止公网暴露 fnOS Web 管理页面我们通过联系多位遭遇入侵的用户并分析相关记录发现,本次针对 fnOS 的漏洞利用活动呈现多团伙、多基础设施特征:疑似存在 2–3 个利用团伙,攻击流程较为成熟,并观察到多个 C2(命令与控制)域名用于回连与任务下发。当前已明确捕捉到 DDoS 攻击指令,被入侵设备存在被纳入僵尸网络风险。 根据网络空间测绘(网站空间)统计,全网可直接访问并暴露 fnOS Web 页面设备约 306,766 台。 注意:该数字来自公开测绘快照,受扫描时间点、动态公网 IP、端口映射/反代、去重口径等影响,实际暴露规模可能与该值不一致,仅用于风险态势评估。时间线最早入侵记录:约 12 天前(1 月 19 日左右)用户察觉异常:约 10 天前(1 月 21 日左右),主要因设备出现对外异常行为(含对外攻击/连接异常增多)导致网络不稳定而被发现1 月 21–22 日期间观测到任务/指令下发行为综合判断:攻击者至少利用了约 3–4 天“空窗期” 在用户察觉前完成感染、持久化与回连准备官方侧:据反馈,官方约在 1 月 21 日左右因用户集中反映“建立大量连接、网络不稳定”等现象,才进一步定位并确认漏洞风险强调所有用户立刻停止公网暴露 fnOS Web 管理页面。这是当前最关键、最有效的止损措施。无论是否升级、是否自查“暂未发现异常”,都不要再让 Web 管理面可被公网直接访问。“升级到新版本”并不等于风险解除。 目前无法确认新版本已覆盖全部修复点,仅依赖升级不能作为安全保证;在 Web 仍暴露公网的情况下仍可能被再次利用或二次入侵。官方目前未公开可复用、可验证的完整处置方案。因此不建议在联网状态下“边运行边清理”。不要指望“屏蔽某个 IP / 屏蔽单个 C2 域名”解决问题。 已确认存在多个 C2 域名/基础设施轮换,单点封堵不一定有效,且可能快速失效。已捕捉到 DDoS 指令:被控设备可能被用来对外攻击。 这不仅会造成你的网络被打满、设备性能异常、业务不可用,也可能引发运营商封禁。 处置 A1. 未发现入侵迹象的用户: 1.立即关闭公网访问,撤销端口映射/公网反代/暴露端口;仅允许内网访问,或使用 扶墙/零信任网关进入内网后访问管理面;在网关处限制来源 IP(最小化暴露面)。 2.持续监控再次强调:未中招用户也不要再暴露 Web。“没被打到”不代表安全,反而意味着资产仍处于可被扫描与补种的窗口内。A2.已疑似/确认中招的用户 第一步:立刻断网隔离(物理断网优先)。 不要让设备继续联网回连 C2,也不要让其继续执行任务或触发 DDoS。第二步:在断网环境下清除与排查(不要边联网边操作)。 中招用户共识建议:离线状态下进行木马清除、检查并处理定时任务/计划任务、启动项、可疑账号与权限、异常容器/进程、异常文件变更等持久化点。第三步:清理完成前不要恢复联网。 在缺乏完整、可验证的清除方案前,贸然联网可能导致再次回连、二次下发任务或触发破坏行为。第四步:保留日志与证据。 xeeii 发表于 2026-2-1 00:09
至少比黑裙靠谱
黑群晖、群晖也不靠谱? 还好没用国产系统
页:
[1]