传飞牛OS出现疑似0day漏洞,请立即自查!
背景
从前天起,陆续有一些飞牛NAS的用户传出可能有0day漏洞、系统遭到入侵等讨论。飞牛团队也紧急给出了应对措施。
具体经过、原因什么的,大家自己去飞牛论坛查看吧。
对于飞牛用户来说,关键是现在要做什么,而不是吃瓜。
对策
1,立刻将fnOS升级至v1.1.15

目前大多数用户应该都收到了v1.1.15的更新推送,请立即升级。
2,立刻将fnOS升级至v1.1.18

根据社区和各方反馈,修复漏洞的 1.1.18 版本正在紧急推送中,部分用户已经收到。若你已经收到,请立刻升级。
3,马上自查“路径穿越”风险
你可以利用脚本中的逻辑,在内网环境下用浏览器或终端快速测试一下你的 1.1.15 是否已经修补了那个核心漏洞。
在浏览器访问: http://[你的NAS内网IP]:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd
如果页面显示了
root:x:0:0...等文字: 说明漏洞依然存在,你的版本仍不安全。如果显示 404、403 或报错: 说明该特定路径已被官方临时封堵。
4,临时防御方案(由于你还没推送到 1.1.18)
在等待新版本推送的这段“空窗期”,请务必执行以下操作:
关闭外网直连: 暂时在路由器上关闭 5666、8000、22 等端口的转发。
检查可疑文件: 重点看一眼
/tmp目录下有没有名为turmp、bkd或gots的文件。修改默认端口: 如果必须公网访问,尽量不要使用默认的 5666 端口。
5,深度自查三步走(SSH模式)
这个看上去复杂,其实也不难,建议照猫画虎,立刻查一遍。
第一步:在飞牛OS后台开启 SSH

先登录飞牛web后台管理界面,到系统设置-SSH页面,启用SSH。
第二步:登录 SSH
Windows 用户: 直接按下 Win + R 键,输入 cmd 回车。在黑窗口里输入: ssh 你的用户名@你的飞牛内网ip,比如10.168.1.188
会提问但不会显示密码,直接输入,按回车即可。
第三步:切换到 Root 权限
在提示符后面,输入: sudo -i
系统会再次要求你输入一次密码,完成后你会发现光标前的符号变成了 #
第四步:执行3个“体检”命令
依次复制并运行这三条命令,看看是否有异常:
ps -ef | grep -E "turmp|gots|bkd|killaurasleep" | grep -v grep
lsmod | grep snd_pcap
grep -E "151.240.13.91|turmp" /fnos/usr/trim/bin/system_startup.sh /etc/rc.local 2>/dev/null
以上三个命令,依次粘贴到提示符后面,按回车。
正常情况都是没有任何输出。
如果出现提示符之外的输出,就说明中招了。
检查完之后,出于安全考虑,建议在飞牛后台关闭 SSH 服务,只有需要维护时再打开。
6,网上已经有专杀脚本
这个请大家按需取用,注意鉴别。
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

003大叔
校验提示文案
BaoHodoii
校验提示文案
Rossoneri0907
校验提示文案
黎洛08
校验提示文案
老张是大佬
校验提示文案
叠红包买航母
校验提示文案
看看便宜货
校验提示文案
日蚀月缺
校验提示文案
起个名字真费劲啊啊
校验提示文案
tanktank007
校验提示文案
小众好物
校验提示文案
小众好物
校验提示文案
小众好物
校验提示文案
Fatbin10
校验提示文案
梦回-唐朝
校验提示文案
桂圆甩蛋
校验提示文案
北方睡神
校验提示文案
至强1
校验提示文案
值友8710169286
校验提示文案
足迹大神
校验提示文案
老张是大佬
校验提示文案
梦回-唐朝
校验提示文案
Fatbin10
校验提示文案
BaoHodoii
校验提示文案
小众好物
校验提示文案
小众好物
校验提示文案
小众好物
校验提示文案
黎洛08
校验提示文案
脓行不低头
校验提示文案
tanktank007
校验提示文案
至强1
校验提示文案
年兆大人
校验提示文案
足迹大神
校验提示文案
上古长白山
校验提示文案
起个名字真费劲啊啊
校验提示文案
日蚀月缺
校验提示文案
看看便宜货
校验提示文案
北方睡神
校验提示文案
003大叔
校验提示文案
值友8710169286
校验提示文案