飞牛疑似重大安全漏洞，请尽快检查设备

紧那罗

个人nas开放到公网在pc区也算是日经话题了……

总有不信邪的觉得开放公网问题不大 觉得用非默认端口or密码验证就足够了

木谷高明

scg2017 发表于 2026-2-1 17:42
反正都是linux改的，好奇像debian和Ubuntu 这样的系统直接用会少什么功能和软件？

—— 来自 鹅球 v3.5.99 ...

SMB/CIFS就是Windows文件共享用samba
webdav靠nginx/apache
NFS靠nfsutil
软RAID mdadm
群晖SHR靠LVM
zfs现在靠openzfs

群晖威联通飞牛都是给这些软件做了个方便的web界面

这些底层开源Linux组件基本不会出问题，出问题的和这次飞牛一样，是厂家自己搓的那个管理页面

Openmedia valut也是套皮debian，Truenas好像是套皮ubuntu

NAS不正常很大概率是皮和核不同步了

posthoc

其实我觉得cockpit的web管理界面就挺好用的了，也轻量

spck

飞牛发了个通知，今晚十点后停止所有1.18以下的中继转发支持

—— 来自 S1Fun

flamel

还停止支持，我直接让周围还在用的把fn connect先关了在v站看了一圈，一方面是技术有问题，前有路径跨越漏洞最早追溯到0.9.9但一直不修，后有把漏洞说成中间人攻击暴露水平，但对于飞牛来说要命的其实展现出来的态度，还是在回避问题，不肯直面。想起来前年的时候我觉得现在的国产NAS的评价不如先一棍子打死，等个三五年再说，现在看来不妨再看三个五年

FFFreddie

还好我最近不常用，nas关机了大半个月了

—— 来自 Sony XQ-EC72, Android 16, 鹅球 v3.5.99

sirlion

有没有研究木马感染的规则的？
我的系统用脚本查显示中了，于是我直接把系统盘格掉了，重装了一个1.1.18来挂载data盘
用脚本查就查不出东西了，但是docker vm等这些东西其实都放在data盘里，如何查data盘有没有可激活木马的文件

汝者

没用官方服务 https加反代 没中招

塌方

居然发短信通知了，这么严重嘛

xbhuang

nas从来不放互联网上，也不开什么反向代理
我是认为这种即便是大企业都避免不了被黑客拖走数据，你个人就放心把nas映射公网了？

—— 来自 S1Fun

思绪云骞

有没有大佬解释一下，1.18版本更新之后安全性会不会好了一些，能不能重新用飞牛官方的连接服务？

cybernetics31

思绪云骞 发表于 2026-2-2 17:10
有没有大佬解释一下，1.18版本更新之后安全性会不会好了一些，能不能重新用飞牛官方的连接服务？ ...

会好一点 现在就先别用飞牛官方的内网穿透

EKVIN

我是飞牛用户。
可以通过查看nginx的日志看是否有人入侵过nas，但nginx日志会定期覆盖，我只能查到25日之后没有相关的连接进来。
fnconnect没有安全多少，拼接地址后一样能访问文件，因为域名格式固定感觉反而更容易被攻击了。
这下飞牛要大崩了，客户信任崩塌，安全性都搞不好还谈什么其他功能。
已经在找便捷的更换nas系统方法了

—— 来自 鹅球 v3.3.96-alpha

慕容断月

只当下载机和内网docker应用的承载是不是相对安全一点？平时只拿来挂bt和用aria2下载，然后加了个komga看漫画，完全没用任何可能对外的内容

汝者

慕容断月 发表于 2026-2-3 11:19
只当下载机和内网docker应用的承载是不是相对安全一点？平时只拿来挂bt和用aria2下载，然后加了个komga看漫 ...

纯内网用不会有问题 要去外网HTTPS加反代

—— 来自 OPPO PKJ110, Android 16, 鹅球 v3.5.99-alpha

g020941

NAS放公网要么用代理，要么白名单吧

elwingh

没开过fn connect ipv6用lucky反代进行访问安全吗？

spck

好了，有传言说群晖也有漏洞了
怕不是黑产在针对nas系统专门研究

—— 来自 S1Fun

汝者

elwingh 发表于 2026-2-3 14:09
没开过fn connect ipv6用lucky反代进行访问安全吗？

目前来看安全 做好防御 毕竟肉鸡那么多 不会浪费时间去搞难搞的

elwingh

汝者 发表于 2026-2-3 19:45
目前来看安全 做好防御 毕竟肉鸡那么多 不会浪费时间去搞难搞的

感谢回复 刚才用gemini查了一下怎么排查是否中招的方法 准备这两天有空的时候彻底排查一下

秘封赛高！

真的难绷，之前还给朋友推荐过国产nas，本来以为两年前绿联那个换系统导致删文件的事情已经够离谱了，没想到还有高手，这种级别的问题还不第一时间处理不是等着舆论大发酵吗

—— 来自 OnePlus PJZ110, Android 16, 鹅球 v3.5.99

汝者

elwingh 发表于 2026-2-3 20:10
感谢回复 刚才用gemini查了一下怎么排查是否中招的方法 准备这两天有空的时候彻底排查一下 ...

其实最简单的方法 如果能正常升级1.18就是没中招

huaxianyan

纯靠 ZeroTier 之类的虚拟局域网访问应该没问题吧

moondigi

sirlion 发表于 2026-2-2 16:16
有没有研究木马感染的规则的？
我的系统用脚本查显示中了，于是我直接把系统盘格掉了，重装了一个1.1.18来 ...

最简单不就是用杀毒软件扫一下吗？

commcody

群晖直接出文章了

好大一只绅士

不明觉厉

尼特geek

太典了，这年头还能看到路径穿越漏洞

goranger

群晖据说也有这个漏洞？

wlbthh

commcody 发表于 2026-2-4 11:42
群晖直接出文章了

朴实的商业竞争

—— 来自 Xiaomi 23049RAD8C, Android 13, 鹅球 v3.5.99

elwingh

汝者 发表于 2026-2-4 09:48
其实最简单的方法 如果能正常升级1.18就是没中招

那还好 没有中招 前天晚上弹出更新的时候就顺手更新了 lucky！

ryanz

密码验证本来就够了 s1 也是密码验证也没见大家的账号被嘎了，有问题的是水货程序员和后续漏洞处理。

gaiden

wlbthh 发表于 2026-2-4 12:26
朴实的商业竞争

—— 来自 Xiaomi 23049RAD8C, Android 13, 鹅球 v3.5.99

群晖需要和肥牛竞争？

木谷高明

commcody 发表于 2026-2-4 11:42
群晖直接出文章了

当年群晖也有漏洞，会感染勒索病毒，但响应挺快的

ryuonegz

我的那台用官方的脚本扫了下没发现木马，但是检测系统更新的时候只有1.1.5，不知道中没中招

wlbthh

gaiden 发表于 2026-2-4 12:56
群晖需要和肥牛竞争？

不需要，但是这个文章标题有点应景和欢乐

—— 来自 Xiaomi 23049RAD8C, Android 13, 鹅球 v3.5.99

eilot

spck 发表于 2026-2-3 17:41
好了，有传言说群晖也有漏洞了
怕不是黑产在针对nas系统专门研究

公平一點，大家都有漏洞
都是看即時的官方反應吧

S記的超超超大嚴重事故SynoLocker 都已經是14年
而23年主因是釣魚郵件
上年底的Pwn2Own 也瞬間將新機925+破了，但S記轉頭就給了更新修了

Q記是本身系統漏洞，有沒兩步都會中招，直到現在都還是這樣
不過就算Pwn2Own 也給了警告，但不少都是不理會，或拖到180後令發現者不滿將其完全公佈
更新得太慢

A記也有漏洞，但公關做得好，即時叫大家立即停了分享功能

另外前兩年的S記和Q記事件，原因也被發現是外掛及docker插件的漏洞，也是插件將保安全開，或用戶不太懂得設得只看網上教學(按圖索驥)，將保安全開

今次飛牛都是系統漏洞，有沒兩步都出事

laaaaaaag

机器升级了1.18
反而ios上的app一直提醒更新又总是报错 用倒是可以用

—— 来自 OPPO PKJ110, Android 16, 鹅球 v3.5.99-alpha

eilot

1.18看了一些回應
都是修了漏洞但未必完全有效，可能是殺毒不乾淨
還有就是影響上網效能
建議都是斷了連線功能，暫時純內網或直連使用，

john

ryanz 发表于 2026-2-4 12:47
密码验证本来就够了 s1 也是密码验证也没见大家的账号被嘎了，有问题的是水货程序员和后续漏洞处理。 ...

要不是动不动就得塞一堆赵小姐我就信了

laaaaaaag

用官方脚本扫了下说是没中招 然后关了fn connect和ssh 等大佬们更新实际能用的杀毒方法

—— 来自 OPPO PKJ110, Android 16, 鹅球 v3.5.99-alpha