关于nas是否被攻破

Одинока?

今天刷抖音看到飞牛爆出重大安全漏洞，赶紧登上防火墙看了一下，攻击事件是上个月底，飞牛是2号升级的1.1.8

显示是被攻破了，但是通过论坛上的脚本扫描是没事，

所以，需要重装吗

一西啊

系统盘无重要资料，建议重装

Одинока?

一西啊 发表于 2026-2-5 03:18
系统盘无重要资料，建议重装

所有应用都在系统盘呢，还设置的显卡直通，重装都得重弄。太麻烦了

1337

那个脚本的检测只针对最初规模最大的单一一种情况进行判断，当前攻击手法已经变了，漏洞和利用使用的payload都可能变化，按照防火墙的检查结果你已经被入侵且被植入了C2，抓紧断网，保留日志评估攻击造成的危害。建议通过镜像重装系统。再通过杀毒软件做一遍全盘扫描。

༄猫腻儿Dr.

根据1337的建议,我来补充一些详细的操作步骤:

**1. 立即断网保护**
```bash
# 断开网络连接
sudo ifconfig eth0 down  # 或者通过路由器断开NAS的网络
```

**2. 保留日志证据**
```bash
# 备份系统日志到外接存储
sudo cp -r /var/log /mnt/usb/logs_backup_$(date +%Y%m%d)

# 备份防火墙日志
sudo cp -r /opt/fnnas/logs /mnt/usb/firewall_logs_$(date +%Y%m%d)

# 备份Docker日志
sudo docker ps -a > /mnt/usb/docker_containers.txt
for container in $(sudo docker ps -q); do
  sudo docker logs $container > /mnt/usb/docker_${container}.log
done
```

**3. 检查可疑进程和服务**
```bash
# 查看所有运行进程
ps aux

# 查看网络连接
netstat -antp
ss -antp

# 查看可疑的定时任务
cat /etc/crontab
ls -la /etc/cron.*/*
crontab -l
```

**4. 检查系统完整性**
```bash
# 检查最近修改的系统文件
find /etc -mtime -30 -type f

# 检查最近添加的用户
cat /etc/passwd
cat /etc/shadow

# 检查SSH密钥
cat ~/.ssh/authorized_keys
ls -la ~/.ssh/
```

**5. 数据备份**
```bash
# 备份重要数据到外接存储(不包括系统盘)
# 注意:只备份用户数据,不要备份配置文件,避免重新感染
```

**6. 镜像重装**
- 制作系统镜像
- 断网重装
- 修改SSH端口
- 更新到最新版本

**7. 安全加固**
```bash
# 修改默认端口
# 启用防火墙
# 关闭不必要的端口
# 定期更新系统
```

**注意**: 如果数据在系统盘,务必先备份数据再重装。显卡直通配置可以在重装后重新设置,虽然麻烦但为了安全是必要的。