通篇文章依旧嘴硬不谈大面积被挂马的问题,用户都被挂完马了,最后只发了个更新补丁出来。
最搞笑的是,如果你的设备已经感染木马,你是无法更新到最新的 1.1.18 版本的。直到这个公告发出,官方甚至都没给出一个像样的查杀补丁或者工具,目前所有操作都需要用户发挥动手能力,自己找木马或者查杀脚本,直接切割所有被挂马用户。
如果真如官方所说的,在过去一周对木马样本进行了深度分析,解决方案在哪里?
 | 1 eGlhb2Jhb2Jhbw 1 天前 还没睡啊。已更~ |
 | 2 yinanc 1 天前 心疼员工 |
 | 3 LnTrx 1 天前  3 异常访问风险:指所有个人隐私文件、API Key 、私钥都被人看光光 |
 | 4 mercury233 1 天前 7 部分设备:指至少从 0.9.2 到 1.1.5 前的所有设备。 公网环境下:指公网开端口,或端口转发(包括 fn connect 和无额外认证的自建)。理论上也包括局域网内横向移动。 异常访问、外部异常流量:指直接在浏览器输入你的网址加特定 url 。 稳定性受到影响:指可以列出所有的用户文件和系统文件,并可以下载这些文件。疑似通过获得凭据文件可以登录系统。 可能造成的不便:指数据泄露以及安装木马等。 在追查木马过程中,我们发现:指有用户在飞牛论坛(公开)已经在 2025-12-23 报告过。 自身代码的一些疏漏:指极为简单的路径穿越、遍历文件等疑似多个漏洞。 |
 | 5 MiKing233 1 天前 5 就官方这种处理重大安全事故的态度这系统后面还有谁敢用, 公告通篇看不出一点对用户数据负责任的态度, 轻飘飘一句公网环境下异常访问风险, 通篇没提漏洞造成的严重后果, 以及自身的 FN Connect 服务同样会导致数据全部泄露, 目前漏洞已被大范围滥用, 官方仍不愿告知用户影响程度和范围, 就这样的公司还所谓把安全稳定的 NAS 系统作为公司"*生存之本*", 所谓创始团队都是"*NAS 发烧友*", 你们的系统自己真的敢用吗? |
| 6 MiKing233 1 天前 3 最后给飞牛 fnOS 的厂商"广州铁刃智造技术有限公司"送三面赛博锦旗: 《不遵守安全披露规范的厂商》 《不适合关键数据存储的系统》 《不可信任的基础设施提供方》 |
 | 8 zhenghuaiyu 1 天前 4 不建议强行带节奏,人家是免费软件,也没强迫你用 没人能做到永远没有 0day ,问题出现是谁都不想的 靠在这键盘批判,还不如有空有精力联系厂家一起分析漏洞 |
 | 9 Otisyang 1 天前 via Android 重要数据还是别放飞牛了,指不定还有啥没发现的 0day |
 | 10 A1188 1 天前 via Android 8 @zhenghuaiyu 免费不是免责条款。 安全漏洞谁都可能遇到,但关键在于厂家的响应态度、修复速度和是否正视问题,而不是用“免费”来转移责任。用户指出问题不是带节奏,而是安全生态的一部分。 |
| 11 zhenghuaiyu 1 天前 @A1188 你看楼主这态度是指出问题么 |
 | 12 iomect 1 天前 1 @MiKing233 #5 数据存储出现了数据泄露的情况 这种小厂不敢正面承认的 真承认了赔不起 所以今天早上的更新压根不敢提 虽然他是免费软件 但是提供了内网穿透服务 并且购买了服务的也受到了影响 理论上是要赔付的 所以他们不可能正面承认 |
 | 13 ThisDay 1 天前 现在那个 websocket 执行任意命令的漏洞,那不是先先拿到 rsa 的 key 么?没懂为啥被算作很危险的漏洞 |
 | 15 kulove 1 天前 via Android 《多维度复合型攻击手法》 |
 | 16 PrinceofInj 1 天前 1 @zhenghuaiyu #11 楼主的的态度是飞牛应该正视问题的存在,而不是遮遮掩掩的说有问题,但是不说后果。对于目前的这个漏洞,最严重的就是把个人密码信息放在 NAS 上的会被脱光光,应该提示这些人尽快更改所有密码。有人有些私密照片在上面,那就更是热闹了。至于有没有有人把助记词存在上面…… |
| 17 MiKing233 1 天前  2 @iomect 坦白讲无论他们是否承认大规模资料泄露已经确认发生, 付费和商用 license 用户肯定是要赔付的这点毋庸置疑如果这都想靠不承认来逃单这家公司没有继续存在下去的必要; 对于免费使用的个人用户, 赔钱肯定是谈不上的, 大家生气的点是官方对此次事件处理的态度, 在去年这个漏洞就已经有人反馈, 如果他们真的在乎安全也不会落到今天这个下场, 他们不是没有机会, 现状完全是这家公司完全不 care 安全所造成的, 讽刺的是他们还一直自诩安全以此为荣, 官网的 slogan:"存数据用飞牛, 高效又*安全*" 并且在事件最终演变为大规模事件后公关也是灾难级别的, 系统当然是不可能没有漏洞的, 但漏洞可以原谅隐瞒不能, 他们最初竟然用 http 明文访问和中间人攻击来将责任撇到 user 自己身上, 我完全看不出这是一家想要认真做产品公司的态度, 责任和担当 |
 | 20 dianso 1 天前 1 还是在论坛不承认漏洞,表示是 http 的问题。 |
 | 22 izToDo OP 2 @zhenghuaiyu 从始至终都是网友自发提供木马查杀和解决方案,官方一直是不采纳、不接受的态度,也不承认用户被感染。 并且飞牛并非你说的只是提供免费软件,他们也卖 NAS 整机,也是同样的系统,也同样有人花了钱被感染。 我不是不能接受有未经审计的漏洞,而是官方这个方式就像把用户骗进来杀。我的设备已经被挂马了,结果官方发了个公告和中马的用户完全无关,偏偏这个中马的设备覆盖面还极广,你会怎么思考? |
 | 24 OneLiteCore 1 天前 商用或者个人用于保管隐私和重要数据的话可能需要谨慎了,如果只是部署在内网然后自己解决内网穿透的话还可以扔在虚拟机跑一下,至于 FN Connect 基本可以告别 |
 | 25 yyuanx 1 天前 1 飞牛的用户基本盘都是白嫖蝗虫,大部分人只是拿飞牛当玩具,并不是利益相关方,捧飞牛臭脚也算合理(虽然挺恶心) 拿真金白银支持飞牛、把重要数据放在飞牛的核心用户那是真小丑,这么严重的漏洞哪怕你发个预警,有重要数据的用户直接关机都能规避损失,但飞牛官方偏偏要装死,让核心用户的损失最大化... |
 | 26 epson3333 1 天前 2 @zhenghuaiyu 免费软件就可以对严重安全漏洞含糊其辞? 你家门锁是免费送的,被人一脚踹开了,你还得感谢厂家没收费? 没人要求他们完美,但正视漏洞、说明风险、给出缓解方案是最基本的安全责任,这跟收费与否无关。 键盘批判当然比厂商遮遮掩掩更有用,至少用户能知道自己有没有被脱光。 "没人能做到永远没有 0day",又是这种互联网洗地通用句式,二十分和八十分都不满一百,所以二十分和八十分“天下乌鸦一般黑”?,“哪里都一样”?要不这样吧,你要这么玩,咱们这帖子接下来也别聊飞牛了,把镜头转向其他厂家的漏洞,这样飞牛是不是又好点了? |
 | 27 deepbytes 1 天前 via iPhone 白裙最近也有一个紧急修复更新,官方邮件通知,还是强制升级的,我一看到邮件就立马升级了,平时是通过 frp 内网穿透+IP 白名单把管理页面放公网: A new DSM version with critical fixes is now available. Scheduled update installation: 2026-01-31 05:25 If you want to postpone the installation, sign in to DSM and click the postpone link in the desktop notification area. |
 | 28 pingdog 1 天前 via iPhone 从这个回复的飞牛论坛截图,以及主帖感谢飞牛提到的工作人员处理方式,推测飞牛的员工一直在关注入侵后的行为,而不是入侵的手段 关键的下载恶意脚本的日志,还是用户在飞牛论坛中披露,常规的排查问题都从日志/debug 开始,看见这种日志都未重点关注这个进程的行为并安排紧急补丁 https://v2ex.com/t/1189392?p=1#r_17272286 属于常见的反馈处理方法罢了,例如前几天看到的备案接入问题 /t/1189197 碰到偶发性问题不认真回放,将锅先甩出去,飞牛也不是几个人的开发团队了,你说始终没员工先看出问题吗?不会,只是不主动说罢了 |
 | 29 Tink PRO @zhenghuaiyu 十一月就有人报了,到二月一号才发公告,闹麻了 |
| 30 Tink PRO 就按照这次这个处理情况,保不齐马上会有一大堆黑客团队专门搞飞牛了 |
| 31 Tink PRO 因为就算发现 0day 了几个月没人管,在 0day 市场上绝对能卖个好价格 |
 | 32 wfhtqp 1 天前 2 有漏洞不可怕,可怕的官方处理问题的态度。路径穿越从 25 年 12 月就爆出来了,当时没有引起任何重视,直到上周才修复。也没有关闭 fn connect ,至今依然可以通过 fn connect 入侵未升级的设备。就这态度以及处理问题的公关方式就有很大的问题。 |
 | 33 mokecc 1 天前 建设一个在安全行业内比较有战斗力的安全团队,需要什么样的团队架构,每年需要多少钱?他刚起步,不可能有这么多资源投入,玩玩还行,真正用还是群晖等大厂的产品吧,起码出了问题能快速锁定并给出解决方案。 |
 | 34 yGin 1 天前 一觉醒来,看到飞牛发公告了,但是这个公告真的很想让人说两句,不知道飞牛的公关团队或者技术人员能不能看到这个贴,但社区的声音真的很重要。 昨天我在其他帖子说了希望飞牛能尽快正面、正确的面对,能发重要公告去告知用户去升级,现在飞牛发了,让用户升级,让用户开启更加严格的安全策略。但飞牛公司你们作为一个软件驱动公司还是有好多东西没有正面的面对。 1.已经被挂马的用户: 如何让用户确定自己被挂马、对于被挂马的用户如何去清除木马?升级系统 不等于 清除木马,后面有小白用户升级到 1.1.18 ,但他之前已经被挂,他依旧会去论坛发帖求助,甚至有可能说出“1.1.18 并没有解决我的问题”这种话。 2.公网访问: 请问你这个公网访问包不包括“FN connect”,如果你的公网访问指的是用户的主机有 V4/V6 的公网直接访问,不含你的“FN connect”,那么请问那些没开 V4/V6 公网但是开了 FN connect 的用户怎么办?他们会不会理解成我只开了 FN connect 那公告里提到的安全访问方式与我无关?飞牛厂家明明知道这次 0day 包括 FN connect 也中招了,为何避而不谈?至少今天凌晨我还通过贵厂的 5ddd.com 能发现大量有洞的设备。FN connect 有白嫖用户也有付费用户,这次 0day 中招的用户中,对于没有公网 IP ,但是是 FN connect 的付费用户的怎么去赔付? 有洞正常,有洞不可怕,可怕的是在 1.1.15 的 updatelog 不写修复的洞。可怕的是当技术团本发现问题了虽不能马上修复这个漏洞,但竟然不发叫用户关闭公网、关闭 FN connect 的缓解方案。可怕的是“ 社区热点问题处理进展 20260130”里面没有任何关于 0day 的正面回应。 请做好一个 NAS 该做的事,安全。 |
 | 36 zerovoid 1 天前 1 不用讨论那么多,一个词来概括飞牛,就是《草台班子》,从老板到技术,到所谓的《公关》,估计就他们现在的营收,我估计压根就没有公关,可能就是程序员让 AI 写个通报发的。 |
| 37 pingdog 1 天前 via Android @yGin 看了一些讨论,FN connect 估计也是某种类似 nginx proxy 的做底层,运营方只要在这个 proxy 前加个 WAF 阻止特征流量进入用户侧即可,他不关闭也不加固,令人费解 |
 | 40 gumayusi 1 天前 1 NAS 敢用 “社区 && 闭源 && 重要数据” 的都是神人 |
 | 41 jiangzm 1 天前 虽然没在用 fnOS ,最近站内太多飞牛漏洞帖子就关注了下。 看攻击手段和 http 明文/中间人攻击没关系啊,完全是系统本身代码提权漏洞问题。免费不代表不需要正视问题,只有足够正视积极通知用户采取措施能有效降低可能的侵害。 |
 | 43 wangdashuai 1 天前 我之前感觉用户使用 fn connect 访问就有风险,用户入口可以暴力枚举测出来。所以之前老早就关闭了,然后使用 ss 访问。 |
 | 44 lswlray 1 天前 1 @epson3333 #24 逻辑上:如果有人送给你免费的门锁,并且强行把你自己的替换掉、给你安上,被人踹开了,他确实要负责;但如果是你自己选择安上了,那他的责任只是说这个锁质量不好、需要改进,至于你自己选择用了导致的损失,是你自己选择的责任。 |
 | 45 NyanMisaka 1 天前 via iPhone 魔改开源+闭源软件+免费引流+增值付费+信徒洗地 这几个国产暴雷软件都是这个套路,还没看透那这辈子有了 |
 | 46 bsder 1 天前 这波操作有没有刷新国产下限呀 |
 | 47 catazshadow 1 天前 早就跟你们说过了,天朝所有的厂商都认为安全投入不直接产生卖点,根本不值得投入,除了问题利用舆论打压混过去就行了,反正不懂的人茫茫多 |
| 48 catazshadow 1 天前 1 洼地打压真知灼见,逼走精英,只剩二流人跪舔上位,这些人只懂投资眼下,根本没有长远和基础的概念 全都是自找的 |
 | 49 Cambrian07 1 天前 只能嘴硬了,这个锅是不敢承认的。 |
 | 50 kidtx 1 天前 via iPhone 国产软件就是这个嘴脸 免费用户不是人都是待割韭菜, 他们的数据安全关我 P 事。 |
 | 51 m3mcpy 1 天前 飞牛的处理是有些稚嫩,安全团队不能及时发布查杀工具。同为做非互联网软件领域的产品经理,飞牛活跃了 NAS DIY 市场,是国内少有的认真做软件的公司。希望他们能从中汲取教训,别被这一棒子打死。 |
 | 52 tianice 1 天前 嘴好硬啊,15 -> 18 ,这他妈到底有多少漏洞。这种级别的漏洞唯一的解决方案就是格式化磁盘,没法查杀啊。 |
| 53 epson3333 1 天前 @lswlray 所以你老板不用为这次的处理出来道歉? 就这个处理态度和方式么,新系统推出了,也没个紧急通知发给大家,时至今日还有大量用户被蒙在鼓里,小白用这个漏洞都能把人家的户口本照片下下来. 按你的逻辑,选择使用该系统的几十万用户全部或死活该? 真认同你的逻辑,还有发帖讨论的必要么,你也还要进来看贴的必要,你也还有评论我的必要? |
 | 54 unused 1 天前 看下来漏洞是一个漏洞,马就不一定是一个马了,根本杀不完 |
 | 55 WuSiYu 23 小时 35 分钟前 说实话有点失望,这漏洞有点太低级了啊,装死和避重就轻也令人反感 至于“查杀补丁或者工具”倒是没啥用,这么门户大开的漏洞指不定会有多少种木马,格式化+重装才是唯一解 另外就是老生常谈的没事别把任何 WebUI 挂到公网,无论是何种 nas 系统或者面版,只留个 wg 入口是最安全的 |
 | 56 patrickyoung 19 小时 42 分钟前 |
| 57 lswlray 17 小时 42 分钟前 @epson3333 #49 你去查一下微软这么多年、造成了多少 BUG 、导致了多少世界性问题。你见过微软的老板出来道歉了吗?你以为全世界都是小本子风格?你自己选择用,就要为自己的选择承担责任,连这都做不到,还叫个什么劲啊! |
 | 58 v00O 17 小时 29 分钟前 用得 tailscale 组网,还好没用飞牛的公网访问,不然也得凉凉 |
| 59 patrickyoung 17 小时 9 分钟前 @deepbytes https://www.synology.com/en-us/releaseNote/DSM 其实 synology 写的很清楚,就是要修最近的 gnu inetutils telnetd 的漏洞 |
| 60 deepbytes 16 小时 26 分钟前 via iPhone @patrickyoung 是的,跟飞牛的路径穿越没关系,我只是表达群晖的安全响应哈哈哈 |
 | 61 unusualcat 12 小时 33 分钟前 |
| 62 unusualcat 12 小时 32 分钟前 |
Select Language