注意：该数字来自公开测绘快照，受扫描时间点、动态公网 IP、端口映射/反代、去重口径等影响，实际暴露规模可能与该值不一致，仅用于风险态势评估。

最早入侵记录：约 12 天前（1 月 19 日左右）

用户察觉异常：约 10 天前（1 月 21 日左右），主要因设备出现对外异常行为（含对外攻击/连接异常增多）导致网络不稳定而被发现

1 月 21–22 日期间观测到任务/指令下发行为

这是当前最关键、最有效的止损措施。无论是否升级、是否自查“暂未发现异常”，都不要再让 Web 管理面可被公网直接访问。

目前无法确认新版本已覆盖全部修复点，仅依赖升级不能作为安全保证；在 Web 仍暴露公网的情况下仍可能被再次利用或二次入侵。

1.立即关闭公网访问，撤销端口映射/公网反代/暴露端口；仅允许内网访问，或使用 VPN/零信任网关进入内网后访问管理面；在网关处限制来源 IP（最小化暴露面）。
2.持续监控

第一步：立刻断网隔离（物理断网优先）。
不要让设备继续联网回连 C2，也不要让其继续执行任务或触发 DDoS。

第二步：在断网环境下清除与排查（不要边联网边操作）。
中招用户共识建议：离线状态下进行木马清除、检查并处理定时任务/计划任务、启动项、可疑账号与权限、异常容器/进程、异常文件变更等持久化点。

第三步：清理完成前不要恢复联网。
在缺乏完整、可验证的清除方案前，贸然联网可能导致再次回连、二次下发任务或触发破坏行为。

第四步：保留日志与证据。

域名：aura[.]kabot[.]icu
IP：20[.]89[.]168[.]131
IP：45[.]95[.]212[.]102
IP：151[.]240[.]13[.]91

清空多目录日志：/var/log/*、/usr/trim/logs/*、/run/log/journal 等
删除审计日志：/var/log/audit/audit.log 及滚动文件
删除/清理安全相关日志：/var/log/secure*、/var/log/messages*、wtmp/btmp/lastlog 等

结束服务：pkill -f backup_service、pkill -f sysrestore_service 等

/etc/modules 被追加 snd_pcap
模块文件：/lib/modules/6.12.18-trim/snd_pcap.ko
与“57132 监听无 PID/无 lsof 结果”的现象存在关联怀疑（疑似内核层隐藏/驻留能力）

不可变属性（immutable，需先 chattr -i 才能删除）：

伪装/复用：/usr/bin/nginx 与 /usr/sbin/gots md5 相同（同一载荷多名称投放）
rc.local 自启：/sbin/gots x86 &
systemd 自启（示例）：ExecStart=/usr/bin/nginx x86（oneshot + enable）

IP：45[.]95[.]212[.]102（C2/多端口连接）
IP：151[.]240[.]13[.]91（HTTP 拉取二阶段：/trim_fnos、论坛样本）
域名：aura[.]kabot[.]icu（解析到 45[.]95[.]212[.]102）
下载源：20[.]89[.]168[.]131（HTTP 拉取：/nginx、/trim_https_cgi）
归属信息：45[.]95[.]212[.]102 与 151[.]240[.]13[.]91 两个 IP 均归属 AS209554 ISIF OU 提供商网段

近日监管发布机构监管通报称，某基金公司管理的基金产品单日申购量超百亿，涉嫌违规销售，经核查，基金公司与不具备基金销售业务资格和基金从业资格的互联网“大V”开展营销合作，向其支付大额广告费，以互联网“大V”在平台上预告某日(将)大额购入D基金公司的A产品为噱头，利用互联网“大V”的流量和影响力鼓动投资者跟进购买A产品，诱导风险承受能力不匹配的投资者购买中高风险产品。经查，公司未对投资者充分揭示风险，投资者适当性管理不到位，违法相关法律法规，监管对该公司采取责令改正并暂停受理公募基金产品注册的监管措施，同步追究公司总经理、督察长、互联网业务部门负责人等责任人员责任。