-
上午看到了,亏得之前放弃了自组NAS,选择了成品 -
风险摘要
攻击者可在未授权的情况下,利用疑似路径穿越漏洞访问 NAS 系统底层文件。目前已证实的后果包括:
恶意程序植入(挖矿、僵尸网络木马)。
系统配置文件及密钥泄露。
设备被利用对外发起攻击,导致 VPS IP 被封锁或网络连接耗尽。
飞牛官方建议方案(仅供参考)
根据飞牛官方社区回应,建议用户采取以下措施:感谢反馈,目前根据已有信息,可能是在公网暴露服务的情况下,设备曾被异常访问或利用,导致三方进程残留或被再次触发,>导致大量连接的问题。
建议你按以下步骤确认一下设备安全
- 确认当前飞牛系统版本已升级至最新版本 1.1.15
- 确认在关闭公网端口映射情况下,是否仍有异常上传行为
- 确认设备公网访问场景下,是使用的 HTTPS 与 FNID 加密访问方式
针对重装,需要注意
- 检查新系统中是否存在非飞牛默认服务的进程、容器或计划任务
- 需重点关注异常文件是否位于数据盘中,系统重装后仍可能被再次触发
请注意:我们认为官方目前的应对建议存在严重的技术逻辑避重就轻,不足以防御此类攻击。
HTTPS 无法防御逻辑漏洞:
官方强调“使用 HTTPS”是概念混淆。HTTPS 仅保障传输通道加密(防窃听),无法防御应用层的路径穿越攻击。如果代码逻辑存在缺陷,攻击 Payload 经过 HTTPS 加密后照样会被服务器接收并执行。仅依赖 HTTPS 无法阻挡该漏洞利用。
2FA 可能失效: 若该漏洞允许绕过鉴权模块直接读写系统文件,您的二步验证(2FA)和强密码将形同虚设。
重装系统的风险: 如果你已中招,单纯重装系统可能无效。恶意脚本往往会伪装并驻留在数据盘中。
我们建议的“真实”防御措施
为了您的数据安全, 建议立即执行以下操作(按优先级排序):
视情况暂停 Web UI 公网暴露:
立即在 VPS 防火墙(如 UFW、iptables)或 VPS.Town 控制面板的安全组中,阻断 FnOS Web 管理端口对公网的开放。或仅允许通过 SSH 隧道、VPN (如 WireGuard/Tailscale) 或 SOCKS5 代理 访问管理后台。不要让后台直接裸奔在公网。
设置 IP 白名单:
如果你必须暴露端口,请务必利用 Nginx/Caddy 等反向代理设置 IP 白名单,仅允许你信任的 IP 地址访问。
异常排查:
检查 /tmp、/var/tmp 及系统计划任务 (crontab) 是否有可疑脚本。
使用 htop 查看是否有异常占用 CPU 的进程。
