重要/漏洞:飞牛 fnOS 疑似遭公网未授权访问/利用后植入后门组件
漏洞编号:暂无(官方未公开 / 未分配 CVE)
重要等级:严重(高危)
CVSS 分数:暂无
影响范围:
fnOS 设备存在公网可达入口(端口映射/反代/直连公网)时风险显著上升;官方建议升级至 1.1.15 并验证关闭公网映射后异常是否停止。
论坛反馈即使仅使用 HTTPS 访问也可能出现同类驻留现象,说明风险不应仅限定为 HTTP 明文通道(可能存在其他公网暴露面、历史入侵残留或服务端漏洞可经 HTTPS 触发)
受影响系统:
fnOS(版本范围未公开)。官方社区回复称该问题官方已知,建议升级至 1.1.15,并在关闭公网端口映射后验证异常上传/连接是否停止。
木马行为分析
目前LoopDNS频道编辑已获取相关木马文件,下为行为分析
1. 入侵者在通过未公开入口/利用链投放后门下载器后并执行
下载二阶段载荷并执行(观测到的命令链)
2.后门驻留组件 gots
A1. 写入后门主体与持久化文件
A2. C2 通信与探测
3. 组件 trim_https_cgi
清理痕迹
干扰业务与恢复功能
二阶段下载执行与启动脚本注入
4.内核模块 snd_pcap(论坛排查)
关键落地痕迹
可疑网络基础设施(IOC)
处置建议
1. 关闭公网端口映射/源站直通。
2. 升级 fnOS 至官方建议版本(1.1.15 或更高)。
3. 出口防火墙封禁:45.95.212.102、151.240.13.91,同时监控连接数与上传是否回落。
4. 轮换所有管理口令/密钥;检查容器、计划任务、数据盘是否存在触发残留(官方提示“重装后仍可能再次触发”)。
参考来源:飞牛社区
漏洞编号:暂无(官方未公开 / 未分配 CVE)
重要等级:严重(高危)
CVSS 分数:暂无
影响范围:
fnOS 设备存在公网可达入口(端口映射/反代/直连公网)时风险显著上升;官方建议升级至 1.1.15 并验证关闭公网映射后异常是否停止。
论坛反馈即使仅使用 HTTPS 访问也可能出现同类驻留现象,说明风险不应仅限定为 HTTP 明文通道(可能存在其他公网暴露面、历史入侵残留或服务端漏洞可经 HTTPS 触发)
受影响系统:
fnOS(版本范围未公开)。官方社区回复称该问题官方已知,建议升级至 1.1.15,并在关闭公网端口映射后验证异常上传/连接是否停止。
木马行为分析
目前LoopDNS频道编辑已获取相关木马文件,下为行为分析
1. 入侵者在通过未公开入口/利用链投放后门下载器后并执行
下载二阶段载荷并执行(观测到的命令链)
2.后门驻留组件 gots
A1. 写入后门主体与持久化文件
A2. C2 通信与探测
3. 组件 trim_https_cgi
清理痕迹
清空多目录日志:/var/log/*、/usr/trim/logs/*、/run/log/journal 等
删除审计日志:/var/log/audit/audit.log 及滚动文件
删除/清理安全相关日志:/var/log/secure*、/var/log/messages*、wtmp/btmp/lastlog 等
干扰业务与恢复功能
结束服务:pkill -f backup_service、pkill -f sysrestore_service 等
二阶段下载执行与启动脚本注入
4.内核模块 snd_pcap(论坛排查)
/etc/modules 被追加 snd_pcap
模块文件:/lib/modules/6.12.18-trim/snd_pcap.ko
与“57132 监听无 PID/无 lsof 结果”的现象存在关联怀疑(疑似内核层隐藏/驻留能力)
关键落地痕迹
不可变属性(immutable,需先 chattr -i 才能删除):
伪装/复用:/usr/bin/nginx 与 /usr/sbin/gots md5 相同(同一载荷多名称投放)
rc.local 自启:/sbin/gots x86 &
systemd 自启(示例):ExecStart=/usr/bin/nginx x86(oneshot + enable)
可疑网络基础设施(IOC)
IP:45[.]95[.]212[.]102(C2/多端口连接)
IP:151[.]240[.]13[.]91(HTTP 拉取二阶段:/trim_fnos、论坛样本)
域名:aura[.]kabot[.]icu(解析到 45[.]95[.]212[.]102)
下载源:20[.]89[.]168[.]131(HTTP 拉取:/nginx、/trim_https_cgi)
归属信息:45[.]95[.]212[.]102 与 151[.]240[.]13[.]91 两个 IP 均归属 AS209554 ISIF OU 提供商网段
处置建议
1. 关闭公网端口映射/源站直通。
2. 升级 fnOS 至官方建议版本(1.1.15 或更高)。
3. 出口防火墙封禁:45.95.212.102、151.240.13.91,同时监控连接数与上传是否回落。
4. 轮换所有管理口令/密钥;检查容器、计划任务、数据盘是否存在触发残留(官方提示“重装后仍可能再次触发”)。
参考来源:飞牛社区
