飞牛明显中招的人为什么还在试图升级系统“修补”漏洞？

你不能和一个处处为你好的人讲道理。

@pingdog 主要是看到太多人还将 NAS 连着网，研究着看不懂的命令，咨询 ssh 是什么，怎么升不了级，术业有专攻，绝大部分飞牛用户不懂 Linux ，官方更应该知道这一点，但怎么就想方设法的逼着普通用户去学习 Linux 命令解决问题？而且即使升级成功了，就万无一失了么，黑客对抗手法仅此而已？难道没人质疑么？ε=(ο｀*)))唉

@mrliule 从这次事故开始，质疑他们处理方式的已经被打上 tag “境外势力” “友商”

v2ex 最开始是从这个感谢帖开始讨论他们的处理手法和漏洞猜测 /t/1189392
其后有人分享从飞牛论坛得到的更多详情 /t/1189672

后面就是 PoC 满天飞了

我是飞牛用户，而且以后也会继续用，但看了飞牛公众号下方的评论真的想吐。用户不是敦促飞牛加强安全方面的技术，提升团队的能力，而是将矛头直指境外、友商，什么“树大招风”，“友商看飞牛壮大坐不住了”，没有一个人指责是飞牛团队自身的问题。感觉飞牛在小红书上发展了太多用户导致这个样子了。

@jukanntenn 飞牛自己放出来的评论呗 引导舆论

@jukanntenn 怀疑你在映射某国

@pingdog 个人愚见，这个漏洞不算高级，充其量就算是个 bug ，一经发现马上就修复完全没问题，出了事立即担责，强制下线 FN Connect ，各种 push 给用户的通知信息全用上，哪怕就是给个积极的态度，用户也能感觉出飞牛以保护用户数据安全为主要使命。拖到现在，用户数据被一扫空，信誉也拖没了，还在想着办法让普通用户使用终端命令行，这太扯了。嫁祸给“境外势力”“友商”的手法太拙略，不赶紧告知用户“升级系统也无法 100%解决问题”这件事，真等更新后出现各种问题，飞牛是真下不来台的。我个人还挺喜欢飞牛的 UI ，但是处理方式的态度决定了一个企业能走多远。希望黑客是小白，完全只是为了盗取数据，不会让用户 NAS 变肉鸡，不会拿黑到的各种用户资料胡作非为，不会对 NAS 局域网设备进行非法操作，更新完重新挂载存储池就像没有漏洞一样……

无论你信不信，我反正不信。

飞牛有官方人员在 V2 么？我诚恳的提醒贵公司，普通用户真的不会命令行，商店里的终端都下架了，让普通用户去使用 ssh 不如告诉用户：无法正常升级系统的或感觉自己中招的重装。
况且国内下载软件网站的生态，鬼知道不懂技术的用户会下到什么“软件”，只会给用户添堵，也给官方添麻烦。要不在官网放个 putty 。

@mrliule 有远见的团队，都是迅速修复并发布公告，即使有数十人讨论过的方案，永远绝对不会是 100%考虑到所有角度。

他大可以说完整修复方案需要讨论，先发布缓解方案并通知用户，迟几天发布修复补丁都无可厚非，这个首先直接误导用户更是大开眼界了。。

有一定工作经验的开发，或多或少都有被安全团队强制要求修复漏洞的经历，间接提高了开发时的各方面考虑。当然，也有分工明确的项目，有单独的 security team 为代码打安全补丁也合理

@pingdog 就当是责任心一般的初创公司送给我们的免费玩具吧，都在骂飞牛，说明还是愿意给飞牛机会，希望飞牛能正视这次风波的起因，像个爷们儿一样，自己写的代码有漏洞关友商什么事，勇于承担责任，积极道歉，出问题优先解决问题而不是推卸责任，虽然系统是免费的，但里面或许就是用户半生的数据。

@jukanntenn 我看还有喊加油的甚至

因为他们愚蠢又喜欢白嫖。这都是他们应得的。。。

无论什么开源软件，不都是自担风险吗？

这也是我很疑惑的事情，root 都被拿到了，怎么敢认为自己能手动清理干净呢？不等重装还等啥。最关键的是，肥牛官方竟然也除了自己的查杀脚本，这有啥用啊，我真的笑。

@mrliule 其实不只是这次路径穿透的问题。
他们提权漏洞一点也没少，https://github.com/bron1e/fnos-rce-chain
路径穿透被拿密钥，然后所有机器变肉鸡

我的飞牛 NAS 存的全是小姐姐，而且全是我精挑细选的，欢迎攻击，造福人类 QaQ

@Hephaistos #15 这个明显更有技术含量

今天收到飞牛提示升级的短信.

不过飞牛行动是很慢, 之前我提过让他们在虚拟机那里增加个 note, 方便记录虚拟机的应用和信息,这么简单的一个提示, 他们只会说好好好, 到现在一年过去了都老样子.