廣東
飛牛官方確認重磅漏洞,趕緊升級你的飛牛NAS系統! 一、飛牛遭遇0DAY漏洞
2月1日,凌晨4點左右,飛牛官方發布微信公眾號提示《》,鏈接:
經深入分析,此次攻擊行為具有明顯針對 fnOS 的定向屬性,且采用了多維度復合型攻擊手法。過去一周,技術團隊已緊急排查大量異常設備,持續追蹤木馬樣本及其變種并展開深度分析。目前,安全團隊已完成對該攻擊鏈路的逆向工程,并發布系統安全更新以阻斷此類攻擊行為。
二、漏洞分析
1.1.15版本以下均可能受到影響
影響
攻擊者可利用該漏洞,在無需任何登錄認證的前提下,直接訪問飛牛 OS NAS 設備中的所有文件,既包含用戶的私人文件,也涉及系統敏感配置文件;也就是說,只要你的飛牛 OS 設備開啟了公網訪問,攻擊者就能輕易竊取設備內的各類文件。
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
可能的rce
星哥自查
不過VMware虛擬機里面的飛牛還是1.1.15,作為測試,暫時沒有升級,看看是否還有漏洞。
可以利用腳本中的邏輯,在內網環境下用瀏覽器或終端快速測試一下你的 1.1.15 是否已經修補了那個核心漏洞。
在瀏覽器訪問:
http://[你的NAS內網IP]:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd訪問
http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd星哥的1.1.15版顯示:
? 如果頁面顯示了
root:x:0:0...等文字: 說明漏洞 依然存在 ,你的版本仍不安全。? 如果顯示 404、403 或報錯: 說明該特定路徑已被官方臨時封堵。
再訪問,問題就復現了
http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd
http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
三、趕緊升級到最新版
在此之前,星哥就關注到一些自媒體曝出的漏洞。
嚇得我立馬就升級到最新版的1.1.18,不過我日常都是開啟雙重認證和防火墻的,不怕賊偷就怕賊惦記,畢竟誰都不想自己的私人相冊共享成公共的吧。
開啟雙重驗證:
打開防火墻:
清除腳本 1. 后門清除腳本(針對已感染設備)
2. ClamAV 殺毒軟件(系統防護)# 停止并禁用惡意服務
systemctl stop SazW nginx dockers trim_pap sync_server
systemctl disable SazW nginx dockers trim_pap sync_server
# 去除不可修改屬性
chattr -i /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi
# 強制刪除惡意文件
rm -rf /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi
rm -rf /etc/systemd/system/SazW.service /etc/systemd/system/nginx.service# 清理啟動項
sed -i '/SazW/d' /etc/rc.local
sed -i '/nginx/d' /etc/rc.local
# 安裝ClamAV
sudo apt update && sudo apt install clamav clamav-daemon -y
# 更新病毒庫
sudo freshclam# 掃描系統
sudo clamscan -r / --exclude=/proc --exclude=/sys --exclude=/dev
注意:fnOS 權限配置復雜,可能與 ClamAV 產生沖突,建議僅用于應急掃描,不啟用實時防護。
四、手動安全分析與清理步驟(進階)
如果您的系統還沒推送到 1.1.18
? 關閉外網直連: 暫時在路由器上關閉 5666、8000、22 等端口的轉發。
? 檢查可疑文件: 重點看一眼
/tmp目錄下有沒有名為turmp、bkd或gots的文件。? 修改默認端口: 如果必須公網訪問,盡量不要使用默認的 5666 端口。
檢查項
命令
異常表現
異常進程
ps aux
grep -E 'gots‘
SazW
dockers
存在未知高 CPU 占用進程
異常服務
systemctl list-units --type=service --all
grep -E 'SazW’
nginx
存在未安裝的服務
文件屬性 lsattr /usr/sbin/gots /usr/bin/nginx
顯示 'i' 屬性(不可修改)
網絡連接
`netstat -tuln
grep -E ':80
:443'`
異常 IP 連接,大量出站請求
2. 深度清理流程(救援模式推薦)
1. 進入救援模式 (推薦)
? 通過服務商控制臺啟動救援系統
? 掛載原系統磁盤:
mkdir /mnt/original && mount /dev/sda1 /mnt/original
2. 清理持久化后門
? 刪除惡意內核模塊:
rm -rf /lib/modules/*/snd_pcap.ko? 清理 crontab 任務:
crontab -e刪除未知條目? 檢查并修復 SSH 配置:
cat /etc/ssh/sshd_config確保無異常監聽端口
3. 系統加固
? 更改所有用戶密碼,包括 root 和 admin
? 禁用 SSH 密碼登錄,啟用密鑰認證
? 限制 SSH 訪問 IP:
echo "AllowUsers admin@192.168.1.*" >> /etc/ssh/sshd_config
先把飛牛 NAS 升級到最新版本,別等文件真被人偷偷看了才后悔!要是你家 NAS 開了公網訪問,記得順便把加密隧道開了、防火墻調嚴點,最好再給重要文件做個備份,雙重保險才安心。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
