作者：Lifeisgood

背景

从前天起，陆续有一些飞牛 NAS 的用户传出可能有 0day 漏洞、系统遭到入侵等讨论。飞牛团队也紧急给出了应对措施。

具体经过、原因什么的，大家自己去飞牛论坛查看吧。

对于飞牛用户来说，关键是现在要做什么，而不是吃瓜。

对策

1，立刻将 fnOS 升级至 v1.1.15

目前大多数用户应该都收到了 v1.1.15 的更新推送，请立即升级。

2，立刻将 fnOS 升级至 v1.1.18

根据社区和各方反馈，修复漏洞的 1.1.18 版本正在紧急推送中，部分用户已经收到。若你已经收到，请立刻升级。

3，马上自查 " 路径穿越 " 风险

你可以利用脚本中的逻辑，在内网环境下用浏览器或终端快速测试一下你的 1.1.15 是否已经修补了那个核心漏洞。

在浏览器访问： root:x:0:0... 等文字： 说明漏洞依然存在，你的版本仍不安全。

如果显示 404、403 或报错： 说明该特定路径已被官方临时封堵。

4，临时防御方案（由于你还没推送到 1.1.18）

在等待新版本推送的这段 " 空窗期 "，请务必执行以下操作：

关闭外网直连： 暂时在路由器上关闭 5666、8000、22 等端口的转发。

检查可疑文件： 重点看一眼 /tmp 目录下有没有名为 turmp、bkd 或 gots 的文件。

修改默认端口： 如果必须公网访问，尽量不要使用默认的 5666 端口。

5，深度自查三步走（SSH 模式）

这个看上去复杂，其实也不难，建议照猫画虎，立刻查一遍。

第一步：在飞牛 OS 后台开启 SSH

先登录飞牛 web 后台管理界面，到系统设置 -SSH 页面，启用 SSH。

第二步：登录 SSH

Windows 用户： 直接按下 Win + R 键，输入 cmd 回车。在黑窗口里输入： ssh 你的用户名 @你的飞牛内网 ip，比如 10.168.1.188

会提问但不会显示密码，直接输入，按回车即可。

第三步：切换到 Root 权限

在提示符后面，输入： sudo -i

系统会再次要求你输入一次密码，完成后你会发现光标前的符号变成了 #

第四步：执行 3 个 " 体检 " 命令

依次复制并运行这三条命令，看看是否有异常：

ps -ef | grep -E "turmp|gots|bkd|killaurasleep" | grep -v grep

lsmod | grep snd_pcap

grep -E "151.240.13.91|turmp" /fnos/usr/trim/bin/system_startup.sh /etc/rc.local 2>/dev/null

以上三个命令，依次粘贴到提示符后面，按回车。

正常情况都是没有任何输出。

如果出现提示符之外的输出，就说明中招了。

检查完之后，出于安全考虑，建议在飞牛后台关闭 SSH 服务，只有需要维护时再打开。

6，网上已经有专杀脚本

这个请大家按需取用，注意鉴别。

本文来自什么值得买网站（www.smzdm.com）。