飞牛官方确认重磅漏洞，赶紧升级你的飞牛NAS系统！

一、飞牛遭遇0DAY漏洞

2月1日，凌晨4点左右，飞牛官方发布微信公众号提示《重要安全更新通知》，链接：
https://mp.weixin.qq.com/s/LzkLcy92m5O24up_9c4NUA

经深入分析，此次攻击行为具有明显针对 fnOS 的定向属性，且采用了多维度复合型攻击手法。过去一周，技术团队已紧急排查大量异常设备，持续追踪木马样本及其变种并展开深度分析。目前，安全团队已完成对该攻击链路的逆向工程，并发布系统安全更新以阻断此类攻击行为。

二、漏洞分析

1.1.15版本以下均可能受到影响

影响

攻击者可利用该漏洞，在无需任何登录认证的前提下，直接访问飞牛 OS NAS 设备中的所有文件，既包含用户的私人文件，也涉及系统敏感配置文件；也就是说，只要你的飞牛 OS 设备开启了公网访问，攻击者就能轻易窃取设备内的各类文件。

    
    
    
  /app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../

可能的rce

星哥自查

不过VMware虚拟机里面的飞牛还是1.1.15，作为测试，暂时没有升级，看看是否还有漏洞。

可以利用脚本中的逻辑，在内网环境下用浏览器或终端快速测试一下你的 1.1.15 是否已经修补了那个核心漏洞。

在浏览器访问：

    
    
    
  http://[你的NAS内网IP]:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

访问

    
    
    
  http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

星哥的1.1.15版显示：

• • 如果页面显示了 root:x:0:0... 等文字： 说明漏洞依然存在，你的版本仍不安全。
• • 如果显示 404、403 或报错： 说明该特定路径已被官方临时封堵。

用VMware快照恢复到1.0.0版

再访问，问题就复现了

    
    
    
  http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

    
    
    
  http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../

三、赶紧升级到最新版

在此之前，星哥就关注到一些自媒体曝出的漏洞。

吓得我立马就升级到最新版的1.1.18，不过我日常都是开启双重认证和防火墙的，不怕贼偷就怕贼惦记，毕竟谁都不想自己的私人相册共享成公共的吧。

开启双重验证：

打开防火墙：

清除脚本

1. 后门清除脚本（针对已感染设备）

    
    
    
  # 停止并禁用恶意服务
systemctl stop SazW nginx dockers trim_pap sync_server
systemctl disable SazW nginx dockers trim_pap sync_server

# 去除不可修改属性
chattr -i /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi

# 强制删除恶意文件
rm -rf /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi
rm -rf /etc/systemd/system/SazW.service /etc/systemd/system/nginx.service

# 清理启动项
sed -i '/SazW/d' /etc/rc.local
sed -i '/nginx/d' /etc/rc.local

2. ClamAV 杀毒软件（系统防护）

    
    
    
  # 安装ClamAV
sudo apt update && sudo apt install clamav clamav-daemon -y

# 更新病毒库
sudo freshclam

# 扫描系统
sudo clamscan -r / --exclude=/proc --exclude=/sys --exclude=/dev

注意：fnOS 权限配置复杂，可能与 ClamAV 产生冲突，建议仅用于应急扫描，不启用实时防护。

四、手动安全分析与清理步骤（进阶）

如果您的系统还没推送到 1.1.18

• • 关闭外网直连： 暂时在路由器上关闭 5666、8000、22 等端口的转发。
• • 检查可疑文件： 重点看一眼 /tmp 目录下有没有名为 turmp、bkd 或 gots 的文件。
• • 修改默认端口： 如果必须公网访问，尽量不要使用默认的 5666 端口。

1. 系统感染迹象排查

检查项命令异常表现 异常进程ps auxgrep -E 'gots‘SazWdockers存在未知高 CPU 占用进程异常服务systemctl list-units --type=service --allgrep -E 'SazW’nginx存在未安装的服务文件属性lsattr /usr/sbin/gots /usr/bin/nginx显示 'i' 属性（不可修改）网络连接`netstat -tulngrep -E ':80:443'`异常 IP 连接，大量出站请求

2. 深度清理流程（救援模式推荐）

1. 1. 进入救援模式（推荐）• 通过服务商控制台启动救援系统• 挂载原系统磁盘：mkdir /mnt/original && mount /dev/sda1 /mnt/original
2. 2. 清理持久化后门• 删除恶意内核模块：rm -rf /lib/modules/*/snd_pcap.ko• 清理 crontab 任务：crontab -e 删除未知条目• 检查并修复 SSH 配置：cat /etc/ssh/sshd_config 确保无异常监听端口
3. 3. 系统加固• 更改所有用户密码，包括 root 和 admin• 禁用 SSH 密码登录，启用密钥认证• 限制 SSH 访问 IP：echo "AllowUsers admin@192.168.1.*" >> /etc/ssh/sshd_config

总结

先把飞牛 NAS 升级到最新版本，别等文件真被人偷偷看了才后悔！要是你家 NAS 开了公网访问，记得顺便把加密隧道开了、防火墙调严点，最好再给重要文件做个备份，双重保险才安心。