飞牛官方确认重磅漏洞,赶紧升级你的飞牛NAS系统!
一、飞牛遭遇0DAY漏洞
2月1日,凌晨4点左右,飞牛官方发布微信公众号提示《重要安全更新通知》,链接:mp.weixin.qq.com/s/LzkLcy92m…
经深入分析,此次攻击行为具有明显针对 fnOS 的定向属性,且采用了多维度复合型攻击手法。过去一周,技术团队已紧急排查大量异常设备,持续追踪木马样本及其变种并展开深度分析。目前,安全团队已完成对该攻击链路的逆向工程,并发布系统安全更新以阻断此类攻击行为。
二、漏洞分析
1.1.15版本以下均可能受到影响
影响
攻击者可利用该漏洞,在无需任何登录认证的前提下,直接访问飞牛 OS NAS 设备中的所有文件,既包含用户的私人文件,也涉及系统敏感配置文件;也就是说,只要你的飞牛 OS 设备开启了公网访问,攻击者就能轻易窃取设备内的各类文件。
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
可能的rce
星哥自查
不过VMware虚拟机里面的飞牛还是1.1.15,作为测试,暂时没有升级,看看是否还有漏洞。
可以利用脚本中的逻辑,在内网环境下用浏览器或终端快速测试一下你的 1.1.15 是否已经修补了那个核心漏洞。
在浏览器访问:
http://[你的NAS内网IP]:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd
访问
http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd
星哥的1.1.15版显示:
- • 如果页面显示了
root:x:0:0...等文字: 说明漏洞依然存在,你的版本仍不安全。 - • 如果显示 404、403 或报错: 说明该特定路径已被官方临时封堵。
用VMware快照恢复到1.0.0版
再访问,问题就复现了
http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd
http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
三、赶紧升级到最新版
在此之前,星哥就关注到一些自媒体曝出的漏洞。
吓得我立马就升级到最新版的1.1.18,不过我日常都是开启双重认证和防火墙的,不怕贼偷就怕贼惦记,毕竟谁都不想自己的私人相册共享成公共的吧。
开启双重验证:
打开防火墙:
清除脚本
1. 后门清除脚本(针对已感染设备)
# 停止并禁用恶意服务
systemctl stop SazW nginx dockers trim_pap sync_server
systemctl disable SazW nginx dockers trim_pap sync_server
# 去除不可修改属性
chattr -i /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi
# 强制删除恶意文件
rm -rf /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi
rm -rf /etc/systemd/system/SazW.service /etc/systemd/system/nginx.service
# 清理启动项
sed -i '/SazW/d' /etc/rc.local
sed -i '/nginx/d' /etc/rc.local
2. ClamAV 杀毒软件(系统防护)
# 安装ClamAV
sudo apt update && sudo apt install clamav clamav-daemon -y
# 更新病毒库
sudo freshclam
# 扫描系统
sudo clamscan -r / --exclude=/proc --exclude=/sys --exclude=/dev
注意:fnOS 权限配置复杂,可能与 ClamAV 产生冲突,建议仅用于应急扫描,不启用实时防护。
四、手动安全分析与清理步骤(进阶)
如果您的系统还没推送到 1.1.18
- • 关闭外网直连: 暂时在路由器上关闭 5666、8000、22 等端口的转发。
- • 检查可疑文件: 重点看一眼
/tmp目录下有没有名为turmp、bkd或gots的文件。 - • 修改默认端口: 如果必须公网访问,尽量不要使用默认的 5666 端口。
1. 系统感染迹象排查
| 检查项 | 命令 | 异常表现 | |||
|---|---|---|---|---|---|
| 异常进程 | ps aux | grep -E 'gots‘ | SazW | dockers | 存在未知高 CPU 占用进程 |
| 异常服务 | systemctl list-units --type=service --all | grep -E 'SazW’ | nginx | 存在未安装的服务 | |
| 文件属性 | lsattr /usr/sbin/gots /usr/bin/nginx | 显示 'i' 属性(不可修改) | |||
| 网络连接 | `netstat -tuln | grep -E ':80 | :443'` | 异常 IP 连接,大量出站请求 |
2. 深度清理流程(救援模式推荐)
-
- 进入救援模式(推荐)
-
- • 通过服务商控制台启动救援系统
- • 挂载原系统磁盘:
mkdir /mnt/original && mount /dev/sda1 /mnt/original
-
- 清理持久化后门
-
- • 删除恶意内核模块:
rm -rf /lib/modules/*/snd_pcap.ko - • 清理 crontab 任务:
crontab -e删除未知条目 - • 检查并修复 SSH 配置:
cat /etc/ssh/sshd_config确保无异常监听端口
- • 删除恶意内核模块:
-
- 系统加固
-
- • 更改所有用户密码,包括 root 和 admin
- • 禁用 SSH 密码登录,启用密钥认证
- • 限制 SSH 访问 IP:
echo "AllowUsers admin@192.168.1.*" >> /etc/ssh/sshd_config
总结
先把飞牛 NAS 升级到最新版本,别等文件真被人偷偷看了才后悔!要是你家 NAS 开了公网访问,记得顺便把加密隧道开了、防火墙调严点,最好再给重要文件做个备份,双重保险才安心。
