如果你手头正用着飞牛 NAS(fnOS),或者你身边有朋友在用,请务必把这篇文章看完,然后立刻、马上去检查你的设备。因为这一次,飞牛真的是“摊上大事了”。

这几天,无数飞牛用户的 NAS 突然变成了“矿机”或者“肉鸡”,CPU 狂转、网络卡死。这背后的原因,是一个极其低级但破坏力极强的0day 漏洞

这就好比你给家里装了全世界最顶级的防盗门,结果小偷根本没撬锁,而是发现你家墙上有个大洞,直接钻进来了。

💥 核心事件:门锁没坏,墙塌了

简单来说,飞牛 NAS 在 1 月底被爆出了一个严重的路径穿越漏洞(Path Traversal),这是什么概念?大家知道,你要访问 NAS 里的文件,通常需要输入账号密码,对吧?但是这个漏洞允许黑客在完全不需要登录的情况下,通过在浏览器地址栏里输入一些特殊的字符(比如 ../../这种),就能直接绕过系统的身份验证,访问你 NAS 里的核心系统文件。

哪怕你开了 HTTPS、设置了 20 位强密码、开了两步验证(2FA),统统没用。因为人家是在你输入密码之前,就已经进去了。

🕵️‍♂️ 来龙去脉:黑客的狂欢

根据社区的大佬们(像 V2EX、Linux.do 上的大神)复盘,这次攻击大概是这样的:

  1. 全网扫描:黑客拿着工具在公网上扫,只要发现你的飞牛 NAS 暴露了 Web 管理端口(80 或 443),就被盯上了。
  2. 利用漏洞:通过刚才说的那个“路径穿越”漏洞,黑客直接读取了你系统的敏感信息(比如 /etc/passwd)。
  3. 植入后门:他们利用系统底层代码拼接命令的逻辑缺陷,把自己伪装成系统进程,植入恶意程序。
  • 最常见的文件名是:/usr/sbin/gots或者 /usr/trim/bin/trim_https_cgi
  • 还有一个内核模块叫 snd_pcap,听起来像声卡驱动,实际是黑客的监控器。
  1. 变身肉鸡:一旦中招,你的 NAS 就会连接到俄罗斯或伊朗的恶意 IP(比如 45.95.212.102),开始下载更多病毒,帮黑客挖矿,或者作为跳板去攻击别人(DDoS)。

⚠️ 症状自查:你的 NAS 还在为你工作吗?

如果你发现你的飞牛 NAS 最近有以下症状,那大概率是“中奖”了:

  • 风扇起飞:明明没干啥,CPU 占用率却飙升到 100%。
  • 网速巨慢:家里网变得巨卡,后台一看,NAS 的上传带宽被拉满(可能正在帮黑客攻击别人)。
  • 系统异常:无法在线更新系统,App Center 打不开。
  • 诡异日志:系统日志被莫名其妙清空,或者出现大量不明连接。

🤔 官方操作:这波“鸵鸟”当得不太行

这事儿最让大家生气的,其实不是漏洞本身(毕竟代码总有 Bug),而是官方的态度。大家都非常气愤,各种论坛吐槽

飞牛官方其实在 1 月 23 日推送的 1.1.15 版本里,已经默默修复了这个漏洞。但是!他们没有发任何正式的安全公告,只是轻描淡写地在论坛里说了一句“建议大家不要用 HTTP 明文访问”。

这就导致很多不知道内情的用户,以为只是小更新,没当回事,结果设备一直裸奔在公网上,直到被黑客攻陷。这种“悄悄修 Bug,不告诉用户风险”的做法,在安全圈里确实是比较败人品的。

果然官方还是听从了大家的建议,于2月1日发布了1.1.18版本,官方这次在论坛里进行了说明,这个告示未免有点晚,大家都炸圈了,你才出来说明…

而这次更新也是说明了情况,而不是之前简单的几句话了事

🛠️ NAS的“保命”建议

如果你的飞牛还在运行,别犹豫,按下面几步操作:

立刻更新!立刻更新!

必须确保你的系统版本在 1.1.15或更高。这是目前唯一的“补墙”办法。

  2. 拔掉网线(逻辑上)

哪怕你更新了,我也强烈建议立刻关闭路由器的端口映射。不要把 NAS 的管理页面直接暴露在公网!

  • 替代方案:如果在外网想访问,请使用 TailscaleZeroTier这种虚拟组网工具,或者通过 VPN 回家。这才是目前最稳妥的方案。
  1. 极客自查(小白慎入)

如果你会用 SSH,进去看一眼:

  • 检查有没有 /usr/sbin/gots这种文件。
  • 检查 /etc/rc.local开机启动项里有没有奇怪的 wget下载命令。
  • 如果有,建议备份数据(只备份照片视频文档,别备份可执行文件),然后彻底重装系统。这是最干净的,因为你不知道黑客还留了什么后门。
  1. 防火墙拉黑

在系统里把这两个恶意 IP 拉黑:45.95.212.102151.240.13.91

总结

飞牛这次的事件,给所有玩 NAS 的朋友都敲了个警钟:NAS 是用来存数据的,不是用来裸奔的。功能再花哨,安全也是底线。

这次信任危机之后,飞牛能不能挺过去,还得看后续的诚意。

但对我们用户来说,数据无价,安全第一

最后留个话题和大家讨论一下:

出了这么大的事,而且官方处理得比较“低调”,你还会继续信任并使用飞牛 NAS 吗?还是准备转投群晖或者威联通的怀抱了?在评论区告诉我你的想法!#飞牛#NAS#0day漏洞

Tags:

Comments

No comments yet. Why don’t you start the discussion?

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注