建议飞牛用户断网或者关机吧

bjyjock

今天发了个帖子
https://forum.naixi.net/forum.ph ... ;mobile=2#pid125414
最新消息升级也不一定能解决，建议飞牛用户关机或者局域网运行吧

zikl

已经关机了   不知道我的有没有中招   后面排查一下吧

sooele

事实证明。网盘比NAS还安全

bjyjock

sooele 发表于 2026-1-31 22:49
事实证明。网盘比NAS还安全

网盘和谐限速啊，nas最主要是去中心化，不像某度直接用网盘照片训练ai

Moltbot

上次本来想装飞牛的，还好没装

nyarime

只能慢慢排查了 毕竟周末应该不上班

plus

赶紧拔网线吧

xeeii

Moltbot 发表于 2026-1-31 23:02
上次本来想装飞牛的，还好没装

至少比黑裙靠谱

amoy

zikl 发表于 2026-1-31 22:44
已经关机了   不知道我的有没有中招   后面排查一下吧

目前已知存在如下严重 0 day 或 N day 漏洞:
任意路径访问
PoC: /app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
这个洞有测试称最早可以溯源到 fnOS 0.9.X 版本, 有称已经在 1.1.15 版本修复

路径穿越的这个洞的上游漏洞可能为 https://github.com/gin-gonic/gin/issues/4443  (飞牛 trim_app_center 使用了 Gin 框架, v1.10.1 版本), 也是 Gin 框架的一个陈年老洞了
截至 1.1.8 还有一个更离谱的洞, 不清楚是否已经修复, 感兴趣的可以自行测试

WebSocket 接口任意命令执行
此漏洞由 v2ex 用户 patrickyoung 根据飞牛用户 xwmz1369 的反馈贴定位并逆向确定 怀疑是近期大量用户机器被入侵所利用的主要漏洞

PoC 参见由 patrickyoung 发布的帖子：https://www.v2ex.com/t/1189392?p=1#r_17275646
据称起码还存在一个 authorization bypass 漏洞
实例被入侵后自动更新被阻止, 导致大量暴露于公网的飞牛实例遭受严重安全威胁; 大部分用户将飞牛安装于物理机而不是容器化或虚拟化隔离, 加剧了危害性

水杉

请立即停止公网暴露 fnOS Web 管理页面  我们通过联系多位遭遇入侵的用户并分析相关记录发现，本次针对 fnOS 的漏洞利用活动呈现多团伙、多基础设施特征：疑似存在 2–3 个利用团伙，攻击流程较为成熟，并观察到多个 C2（命令与控制）域名用于回连与任务下发。当前已明确捕捉到 DDoS 攻击指令，被入侵设备存在被纳入僵尸网络风险。   根据网络空间测绘（网站空间）统计，全网可直接访问并暴露 fnOS Web 页面设备约 306,766 台。 注意：该数字来自公开测绘快照，受扫描时间点、动态公网 IP、端口映射/反代、去重口径等影响，实际暴露规模可能与该值不一致，仅用于风险态势评估。  时间线  最早入侵记录：约 12 天前（1 月 19 日左右）  用户察觉异常：约 10 天前（1 月 21 日左右），主要因设备出现对外异常行为（含对外攻击/连接异常增多）导致网络不稳定而被发现  1 月 21–22 日期间观测到任务/指令下发行为  综合判断：攻击者至少利用了约 3–4 天“空窗期” 在用户察觉前完成感染、持久化与回连准备  官方侧：据反馈，官方约在 1 月 21 日左右因用户集中反映“建立大量连接、网络不稳定”等现象，才进一步定位并确认漏洞风险  强调  所有用户立刻停止公网暴露 fnOS Web 管理页面。  这是当前最关键、最有效的止损措施。无论是否升级、是否自查“暂未发现异常”，都不要再让 Web 管理面可被公网直接访问。  “升级到新版本”并不等于风险解除。 目前无法确认新版本已覆盖全部修复点，仅依赖升级不能作为安全保证；在 Web 仍暴露公网的情况下仍可能被再次利用或二次入侵。  官方目前未公开可复用、可验证的完整处置方案。  因此不建议在联网状态下“边运行边清理”。  不要指望“屏蔽某个 IP / 屏蔽单个 C2 域名”解决问题。 已确认存在多个 C2 域名/基础设施轮换，单点封堵不一定有效，且可能快速失效。  已捕捉到 DDoS 指令：被控设备可能被用来对外攻击。 这不仅会造成你的网络被打满、设备性能异常、业务不可用，也可能引发运营商封禁。   处置   A1. 未发现入侵迹象的用户： 1.立即关闭公网访问，撤销端口映射/公网反代/暴露端口；仅允许内网访问，或使用 扶墙/零信任网关进入内网后访问管理面；在网关处限制来源 IP（最小化暴露面）。 2.持续监控  再次强调：未中招用户也不要再暴露 Web。“没被打到”不代表安全，反而意味着资产仍处于可被扫描与补种的窗口内。  A2.已疑似/确认中招的用户 第一步：立刻断网隔离（物理断网优先）。 不要让设备继续联网回连 C2，也不要让其继续执行任务或触发 DDoS。  第二步：在断网环境下清除与排查（不要边联网边操作）。 中招用户共识建议：离线状态下进行木马清除、检查并处理定时任务/计划任务、启动项、可疑账号与权限、异常容器/进程、异常文件变更等持久化点。  第三步：清理完成前不要恢复联网。 在缺乏完整、可验证的清除方案前，贸然联网可能导致再次回连、二次下发任务或触发破坏行为。  第四步：保留日志与证据。

nnas

xeeii 发表于 2026-2-1 00:09
至少比黑裙靠谱

黑群晖、群晖也不靠谱？

Xina

还好没用国产系统