飞牛OS曝出严重安全漏洞,导致大量NAS设备被恶意脚本入侵。这个漏洞通过WebSocket注入方式攻击系统,无论使用IPv4、IPv6还是内网穿透都可能中招。本文提供完整的自查方法和加固方案,帮助用户保护数据安全。
智能速览
漏洞通过登录页面WebSocket注入恶意脚本
所有公网可访问的NAS设备都有中招风险
执行命令即可快速自查是否感染
建议重装系统并采用更安全的访问方式
使用主路由防火墙规则限制端口访问
通过Docker部署VPN实现安全远程访问
精华内容
这次安全事件暴露了NAS设备在公网访问时的脆弱性,正确的防护措施比事后补救更为重要。下面详细介绍如何自查和加固。
漏洞原理
该漏洞通过飞牛OS登录页面的WebSocket方式注入恶意脚本,与是否使用HTTPS无关。攻击者可以远程执行命令,在系统启动脚本中加入恶意代码。
漏洞影响范围极广,只要是能从公网访问到的设备都可能中招,包括使用飞牛中继、IPv4、IPv6以及第三方内网穿透服务的用户。
最早的用户反馈出现在2024年10月,但直到2025年1月底才大规模爆发。
快速自查
通过SSH登录到NAS,执行命令检查系统启动脚本。
命令:cat /etc/rc.local
如果输出结果末尾出现两行下载恶意脚本的命令,说明已中招,需要立即重装系统。
目前检测方法针对已知变种有效,后续可能出现新变种,建议定期检查。
安全加固
第一步:关闭所有公网访问入口,包括IPv6防火墙、飞牛中继和内网穿透服务。
第二步:在主路由器上配置防火墙规则,仅开放特定端口给NAS的IPv6地址。以OpenWrt为例,设置入站数据默认拒绝,只添加必要的通信规则。
第三步:通过Docker部署3x-ui等服务,创建安全的VPN通道。端口可随机设置,降低被扫描到的概率。
远程访问方案
推荐使用VPN方式实现安全远程访问。手机端安装小火箭等客户端,配置自建的IPv6节点。
连接成功后,手机相当于接入家庭内网,可直接通过192.168.x.x访问NAS,所有数据都经过加密通道传输。
这种方案只开放一个端口,且端口可自定义,安全性远高于直接暴露NAS服务。
防护建议
立即更新到最新版1.18系统,官方已发布补丁。
关闭不必要的IPv6访问,非必要时保持设备离线。
使用防火墙软件如雷池,可拦截部分攻击。
定期检查系统状态,关注官方安全公告。
重要数据做好多重备份,防止单点故障。
网络安全没有绝对安全,只有相对安全。这次事件提醒所有NAS用户,便利性和安全性需要平衡。建议采用纵深防御策略,从网络层到应用层都做好防护。你的NAS是否安全?欢迎分享更多防护经验。
关键评论
幸好平时为了省电都关机,只在需要时远程开启,逃过一劫
已经升级到1.18版本,一切正常,建议大家都尽快更新
改过端口的用户运气好,没有遇到问题,周日已升级
相册完全暴露了,外网都在下载了,数据安全太重要了
qsect
校验提示文案
醉之琰隹
校验提示文案
醉之琰隹
校验提示文案
qsect
校验提示文案