飞牛官方确认重磅漏洞，赶紧升级你的飞牛NAS系统！

飞牛官方确认重磅漏洞，赶紧升级你的飞牛NAS系统！ 一、飞牛遭遇0DAY漏洞

2月1日，凌晨4点左右，飞牛官方发布微信公众号提示《》，链接：

经深入分析，此次攻击行为具有明显针对 fnOS 的定向属性，且采用了多维度复合型攻击手法。过去一周，技术团队已紧急排查大量异常设备，持续追踪木马样本及其变种并展开深度分析。目前，安全团队已完成对该攻击链路的逆向工程，并发布系统安全更新以阻断此类攻击行为。

打开网易新闻 查看精彩图片

二、漏洞分析

1.1.15版本以下均可能受到影响

影响

攻击者可利用该漏洞，在无需任何登录认证的前提下，直接访问飞牛 OS NAS 设备中的所有文件，既包含用户的私人文件，也涉及系统敏感配置文件；也就是说，只要你的飞牛 OS 设备开启了公网访问，攻击者就能轻易窃取设备内的各类文件。

打开网易新闻 查看精彩图片

/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../

打开网易新闻 查看精彩图片

可能的rce

打开网易新闻 查看精彩图片

星哥自查

不过VMware虚拟机里面的飞牛还是1.1.15，作为测试，暂时没有升级，看看是否还有漏洞。

打开网易新闻 查看精彩图片

可以利用脚本中的逻辑，在内网环境下用浏览器或终端快速测试一下你的 1.1.15 是否已经修补了那个核心漏洞。

在浏览器访问：

http://[你的NAS内网IP]:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

访问

http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

星哥的1.1.15版显示：

打开网易新闻 查看精彩图片

• • 如果页面显示了 root:x:0:0... 等文字： 说明漏洞 依然存在 ，你的版本仍不安全。

• • 如果显示 404、403 或报错： 说明该特定路径已被官方临时封堵。

打开网易新闻 查看精彩图片

再访问，问题就复现了

http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

打开网易新闻 查看精彩图片

http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../

打开网易新闻 查看精彩图片

三、赶紧升级到最新版

在此之前，星哥就关注到一些自媒体曝出的漏洞。

吓得我立马就升级到最新版的1.1.18，不过我日常都是开启双重认证和防火墙的，不怕贼偷就怕贼惦记，毕竟谁都不想自己的私人相册共享成公共的吧。

打开网易新闻 查看精彩图片

开启双重验证：

打开网易新闻 查看精彩图片

打开防火墙：

打开网易新闻 查看精彩图片

清除脚本 1. 后门清除脚本（针对已感染设备）

# 停止并禁用恶意服务
systemctl stop SazW nginx dockers trim_pap sync_server
systemctl disable SazW nginx dockers trim_pap sync_server

 # 去除不可修改属性
chattr -i /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi

 # 强制删除恶意文件
rm -rf /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi
rm -rf /etc/systemd/system/SazW.service /etc/systemd/system/nginx.service

 # 清理启动项
sed -i '/SazW/d' /etc/rc.local
sed -i '/nginx/d' /etc/rc.local

# 安装ClamAV
sudo apt update && sudo apt install clamav clamav-daemon -y

 # 更新病毒库
sudo freshclam

 # 扫描系统
sudo clamscan -r / --exclude=/proc --exclude=/sys --exclude=/dev

注意：fnOS 权限配置复杂，可能与 ClamAV 产生冲突，建议仅用于应急扫描，不启用实时防护。

四、手动安全分析与清理步骤（进阶）

如果您的系统还没推送到 1.1.18

• • 关闭外网直连： 暂时在路由器上关闭 5666、8000、22 等端口的转发。

• • 检查可疑文件： 重点看一眼 /tmp 目录下有没有名为 turmp 、 bkd 或 gots 的文件。

• • 修改默认端口： 如果必须公网访问，尽量不要使用默认的 5666 端口。

检查项

命令

异常表现

异常进程

ps aux

grep -E 'gots‘

SazW

dockers

存在未知高 CPU 占用进程

异常服务

systemctl list-units --type=service --all

grep -E 'SazW’

nginx

存在未安装的服务

文件属性 lsattr /usr/sbin/gots /usr/bin/nginx

显示 'i' 属性（不可修改）

网络连接

`netstat -tuln

grep -E ':80

:443'`

异常 IP 连接，大量出站请求

2. 深度清理流程（救援模式推荐）

1. 1. 进入救援模式 （推荐）

   • • 通过服务商控制台启动救援系统

   • • 挂载原系统磁盘： mkdir /mnt/original && mount /dev/sda1 /mnt/original

2. 2. 清理持久化后门

   • • 删除恶意内核模块： rm -rf /lib/modules/*/snd_pcap.ko

   • • 清理 crontab 任务： crontab -e 删除未知条目

   • • 检查并修复 SSH 配置： cat /etc/ssh/sshd_config 确保无异常监听端口

3. 3. 系统加固

   • • 更改所有用户密码，包括 root 和 admin

   • • 禁用 SSH 密码登录，启用密钥认证

   • • 限制 SSH 访问 IP： echo "AllowUsers admin@192.168.1.*" >> /etc/ssh/sshd_config

先把飞牛 NAS 升级到最新版本，别等文件真被人偷偷看了才后悔！要是你家 NAS 开了公网访问，记得顺便把加密隧道开了、防火墙调严点，最好再给重要文件做个备份，双重保险才安心。