@dreamking60
@zhangsanfeng2012

还真是, 确认了一下这个江苏联通的省级 DNS 对 ICMP 回显的规则有点迷, 甚至连同省内另外两家 ISP 的都不回应, 但又有回应来自其他省份另外两家 ISP 成功的请求

https://i.imgur.com/8bK8xnb.png


但是他在撒谎我是确定的, 因为他给我的那张到 221.6.4.66 不通的图里面, 我前面让他测了我的上一跳 ISP 的网关(我解析到了 ping.mknetwork.net), 这个地址我测试对 ICMP 是全开的, 包括我自己的 IP 对 ICMP 回显在防火墙中规则也是 Allow

https://i.imgur.com/hFL3sEa.png


@287854442 现在看来确实是浪费时间了, 这家伙背后还有一帮幕僚帮他出主意我真没想到, 甚至都怀疑这帮人是专门行骗的, 从备份到伪造证据退款投诉, 后续对我小黄鱼账号辱骂说我针对"台湾人", 还有不知道他们怎么搞到了我绑定支付宝的手机号, 这几天一直在短信轰炸我各种注册验证码, 没想到现在短信轰炸机这种东西还活着, 唉

@Tink [我在海鮮市場租服務器，卻只換來一句小丑] https://www.bilibili.com/video/BV1jtABzbEK1

这人一直显摆自己所谓的"台湾人"身份, 还以此获得了小黄鱼自掏腰包的现金补偿, 它的 b 站账号我也看了一下就是靠这个身份赛道做起来的, 但作为一个在台企打工 5 年多的牛马, 我跟他的咸鱼交流中我完全感受不到对方是台湾人, 最基本的网络/网路, 服务器/伺服器, 程序/程式全都是大陆的口吻, 只不过套了个繁体字而已, 并且字里行间感觉对方年纪不大, 它的 B 站影片也全都是 AI 配音, 它的粉丝也都是小孩子, 骂人的那些字眼都挺低级的, 我一直在评论区解释有个死忠粉一直在怼我, 那个 UP 主还在控评哈哈, 懒得陪他们玩了真是什么人都有, 第一次切身感受到恶人先告状倒打一耙什么感觉

@Danswerme 直接退款确实是最省事的方案, 我只是咽不下这口气, 后续确实给我搞出了很多幺蛾子...
在我揭穿他后, 直接换回大号退款, 我拒绝了, 他申请小法庭, 17 票 9 胜, 结果是 0 比 17 他输了, 但是他不服, 在 B 站发影片把我挂起来, 说我诈骗他, 这人还有 11w 粉丝, 教唆它的粉丝来骂我, 我真的被气笑了哈哈, 一堆不明真相的小孩子信他的话来举报我, 有时候真的感觉好无力

我在事后也检查这台 VM 发现了恶意的 bat 滥用脚本

@echo off
start "" %0

另外关于我为什么那么确定他在撒谎, 我检查了这台 vm 的流量日志, 发现在他找我报告各种问题之前, 把自己所有的数据都上传到了百度网盘, 这一点他后来也承认, 就在把自己资料全都安全转移走之后, 才开始跟我报告出了各种问题, 这个动作太反常了, 他对此的解释是用了一周左右把自己的数据备份一下有什么问题吗, 以及在此之后, 除了每天跟我扯皮, 这台 vm 基本没有什么流量使用, 看起来是被遗弃了

还有一点是, 这个人有很多小号, 例如我上面的截图中包含两个对方的账号, 他使用第二个小号过来伪装成另一个人询单并且套我话, 最后没得到什么有用的信息摊牌了承认是同一个人, 在他承认之前, 我有提供一个测试机给他试用, 我确认他已经正常 RDP 连接到了这台机器(有入站的网路日志, 以及虚拟机 CPU/RAM 资源升高活动), 在后面摊牌后, 他还是那套说辞, 网路根本连不上, 提供了那些伪造的截图, 然后我想起来一开始不是提供了一台测试机给他试用问他, 他回复我"其实我根本没连", 因为他只要承认了能连上他后面造假的那一堆证据全部都白费了, 到这里我已经完全确定这家伙从头到尾全部都在撒谎, 但他一直用它提供的那堆测试证据说就是我的问题, 这一点我真的很难以理解他怎么做到的

别折腾了洗洗睡吧, 赶上好时代了

搞了个封建迷信网站? 只是域名被 GFW DNS 污染算轻了的吧? 你这种去备案不相当于投案直接被社区送温暖啊

@mrabit 公关开始发力了, 还都是拿群晖做对比, 看到好几个差不多文案的

丢内网用别开 FNConnect, 别把端口暴露在公网就行, 想在外面用自己配好 VPN 连回来内网访问就行, 就算后面还有没发现的漏洞这样用也是安全的, 再不放心直接禁掉飞牛的互联网访问, 只允许内网地址通讯, 要系统更新的时候开放一下

@adminpro 很难想象 v 站也有你这样的人, 不知道的还以为微信公众号的精选评论

国产的输入法/浏览器/即时通讯这些有监控不是人尽皆知吗? 不然老大哥怎么看你在说什么在看什么? 怎么保护你呢

这个 bug 至少在 0.9.2 上就存在了, 这个 release 是 25 年 6 月的, 也就是说最起码存在半年以上了, 然后最早是去年 12 月有人在公开渠道(飞牛论坛)报告了这个漏洞, 但仍然未能得到重视, 责任在谁认知没问题的都能看清楚

跟公网暴不暴露有什么关系我请问? 走 FNConnect 也算公网暴露出去吗? 国产 NAS 像绿联极空间全部都自带外网访问不需要你有公网 IP, 为什么人家没出问题? 本质上不是系统漏洞造成的吗? 是蠢还是坏我真求你们这帮人了能不能别给飞牛在这边洗了?

限时偷窥即将结束, 飞牛贴心短信提醒

@wonderfulcxm 我刚测过 OS 1.1.18 到 TV 1.1.6 没问题, 电视是 Android TV

@flyqie 以及漏洞被大规模利用已经过去超过了一天一夜, 我不知道他们公司的老板和法人是怎么睡得着觉的

@flyqie 说做不了是不可能的, 哪怕临时停止解析 5ddd.com 这种 FN Connect 域名也可以尽可能减少漏洞利用范围, 我真没看明白他们除了在论坛发帖忽悠小白之外究竟还采取了哪些主动的安全挽救措施

@hongye 嗯嗯, 这次事件后大家会看清用脚投票的, 看看后面 FN Connect 和硬件卖给谁

@iomect 坦白讲无论他们是否承认大规模资料泄露已经确认发生, 付费和商用 license 用户肯定是要赔付的这点毋庸置疑如果这都想靠不承认来逃单这家公司没有继续存在下去的必要;

对于免费使用的个人用户, 赔钱肯定是谈不上的, 大家生气的点是官方对此次事件处理的态度, 在去年这个漏洞就已经有人反馈, 如果他们真的在乎安全也不会落到今天这个下场, 他们不是没有机会, 现状完全是这家公司完全不 care 安全所造成的, 讽刺的是他们还一直自诩安全以此为荣, 官网的 slogan:"存数据用飞牛， 高效又*安全*"

并且在事件最终演变为大规模事件后公关也是灾难级别的, 系统当然是不可能没有漏洞的, 但漏洞可以原谅隐瞒不能, 他们最初竟然用 http 明文访问和中间人攻击来将责任撇到 user 自己身上, 我完全看不出这是一家想要认真做产品公司的态度, 责任和担当

最后给飞牛 fnOS 的厂商"广州铁刃智造技术有限公司"送三面赛博锦旗:

《不遵守安全披露规范的厂商》
《不适合关键数据存储的系统》
《不可信任的基础设施提供方》