飞牛疑似重大安全漏洞,请尽快检查设备
本帖最后由 ra1n 于 2026-2-1 01:15 编辑来源:https://www.v2ex.com/t/1189672
起因:
在近期使用飞牛时,发现会时不时的出现设备卡死、网络报错的情况,因为每天我都会通过飞牛去跑数据同步,所以没有关心这个问题,只以为是数据太多导致 FNOS 出现的什么莫名奇妙 Bug 。
直到本周周五,我又出现了这个问题,于是就想去查询一下是什么起因。
没想到,不查不知道,一查吓一跳,社区中许多人都出现了设备连接数异常、导致断网或无法连接飞牛服务器的情况。
再一搜索,这居然是一个很普遍的问题!社区中有人已经分析出这是一个专门针对 FNOS 的恶意程序,即便我已经开启了 SSL 、2FA ,且密码为非弱密码的情况下,这个恶意程序仍然植入到了我的设备。
根据一些大佬分析,飞牛疑似存在的 0day (路径穿越漏洞)可以在未授权的情况下可以访问整个 NAS 全部文件,包括系统的配置文件,这可能也是导致如上安全措施归零的主因之一。
这种 T0 级别的重大问题居然被官方一句 “别走 http 明文方式访问设备” 一笔带过,没有任何安全预警。像我一样的普通用户如果不是注意到近期的设备异常,甚至根本不知道有这么一回事。
https://p.sda1.dev/30/751cc014547d9c1a6af0ed98f1ab8f3a/PCyiwB9.png
这么大的一个技术团队,在出现这么大的安全事件后没有任何官方公告是什么用意?能不能有一个正面的态度???
附一些官方社群的分析:
https://club.fnnas.com/forum.php?mod=viewthread&tid=53230
https://club.fnnas.com/forum.php?mod=viewthread&tid=52580
设备被感染特征:
- 无法使用官方的更新功能,提示错误或异常
- /usr/trim/bin/system_startup.sh 中存在异常的 wget 命令
- 近期出现死机、网络连接突然失效、网卡超时等情况
- 存在 /usr/sbin/gots 、/usr/trim/bin/trim_https_cgi 等病毒文件
若被感染,请断开外部网络,立即检查是否存在可疑进程
可参照社区这篇帖子进行修复: https://club.fnnas.com/forum.php?mod=viewthread&tid=53230 都公网暴露了。。。那还说啥 这里建议更新系统到Ubuntu 24.04 LTS呢 我用stun穿透暴露到公网的,可能因为端口每隔几天就变逃过一劫,赶紧先公网入口关掉 话说这种我放路由器后面不暴露任何端口到公网应该不需要担心的吧 怕不是专门留出来的后门被发现了,也可以解释官方的遮遮掩掩 Deco 发表于 2026-2-1 00:21
怕不是专门留出来的后门被发现了,也可以解释官方的遮遮掩掩
这个感觉没必要吧 大半夜的更新了1.1.18出来 反正五年内不考虑国产。让大家先当小白鼠 其实就用 debian + cockpit 也够了 国产 免费 nas 直连外网 你们应该能想象厂家是要干什么的
—— 来自 HONOR MBH-AN10, Android 16, 鹅球 v3.5.99 反正我是不会把任何nas暴露到公网上去,这玩意普通人根本没法及时监控,等爆出来不知道又被埋了什么雷进来。 反正搞黑灰产的已经在绝赞狂扫了,什么户口本、身份证、保存的密码、劳动合同之类的东西都有 话说这种事是不是没有诉赔渠道?如果放在国外能集体诉讼吗? 在nas放敏感信息,不经过梯子就公网访问
都挺抽象的 一直没登录过fn connect应该没啥问题?
—— 来自 OnePlus PKX110, Android 15, 鹅球 v3.5.99-alpha 感觉许多用nas的人安全意识都比较薄弱,不管什么系统公网直接访问都是极其危险的行为,就算系统没后门也保不齐日后又发现什么漏洞 早些年威联通漏洞会被勒索病毒感染这回事之后就放弃公网访问nas这玩法了 只在路由器下的局域网内,没对公网开放呢 最近放假回家刚开了一个月的connect高级会员自查了下貌似还没中招,以后还是老老实实用tailscale吧
—— 来自 meizu MEIZU 21 Pro, Android 16, 鹅球 v3.5.99 我看飞牛这次是完蛋了 我自己一直是用ubuntu自己配nas
反正都是linux改的,好奇像debian和Ubuntu 这样的系统直接用会少什么功能和软件?
—— 来自 鹅球 v3.5.99 本帖最后由 screeper 于 2026-2-1 17:56 编辑
湖北这边受pcdn影响对tcp/udp无差别qos,但唯独对http协议放行,只能开几个端口放webdav了
目前还在用黑裙所以幸免于难,未来会怎么样不好说 没中招,但是还是把fn connect关了吧。 scg2017 发表于 2026-2-1 17:42
反正都是linux改的,好奇像debian和Ubuntu 这样的系统直接用会少什么功能和软件?
—— 来自 鹅球 v3.5.99 ...
图形界面
你哪怕要改个IP地址,也得对着AI助手整半天,这还是现在有AI助手的情况,以前折腾这些就是灾难 scg2017 发表于 2026-2-1 17:42
反正都是linux改的,好奇像debian和Ubuntu 这样的系统直接用会少什么功能和软件?
—— 来自 鹅球 v3.5.99 ...
运维可能还行,普通用户就说不好了 从24年绿联的TLS私钥泄露,到这次飞牛的漏洞,感觉还是不能低估新兴厂商的草台程度,虽然老牌厂商也不一定多安全就是了
建议还是不要直接把内网服务暴露到公网,套一层wireguard之类的应该能安全不少。另外就是厂商提供的内网穿透服务最好也谨慎使用,虽然确实比自己折腾方便,但是你也不知道哪天就被整出点幺蛾子来
本来就不敢用,这下更不敢了
—— 来自 S1Fun 借楼问一下,怎么查自己信息是否泄露了呢?
关掉FN Connect,只留本地连接应该就可以了吧?
还有一个问题,NTFS的硬盘走SATA连接的,怎么样自动挂载,让笔记本可以自动连上呢?
— from OnePlus ONEPLUS A5000, Android 9, S1 Next Goose v3.5.99 用免费软件,再连公网,再保存敏感数据…… 这团队官方申明也在避重就轻,出问题不可怕,出安全问题还是这种态度就很有问题了。 nas直接就放公网啊?我都是搞个虚拟专网的 POC不都有人放了么
就是路径穿透到啥都看得到
https://www.v2ex.com/t/1189806
https://i.imgur.com/dK11smX.png
问题是官方的响应态度问题
没有方案,官方也没个热补丁或者WAF临时补补的方案 中间件的问题吧 其实走fnconnect或者套一层代理确实安全很多 董卓 发表于 2026-2-2 09:59
POC不都有人放了么
就是路径穿透到啥都看得到
https://www.v2ex.com/t/1189806
补丁是有的,连夜更的1.18
当然没出公告确实说不过去
—— 来自 S1Fun 更新1.1.18后smb服务是不是炸了,我本机的文件管理器都快被挂载硬盘搞死了,一直转圈
登录web界面也卡的要死,已经关机了,飞牛不会真的被这一波搞死吧
图转群,先观望真假 还好我对这些新兴厂商没那么信任,没放重要资料也没开外网。
—— 来自 Xiaomi 25042PN24C, Android 16, 鹅球 v3.5.99-alpha 这就是群晖可以收割企业用户的原因了