我们通过联系多位遭遇入侵的用户并分析相关记录发现,本次针对 fnOS 的漏洞利用活动呈现多团伙、多基础设施特征:疑似存在 2–3 个利用团伙,攻击流程较为成熟,并观察到多个 C2(命令与控制)域名用于回连与任务下发。当前已明确捕捉到 DDoS 攻击指令,被入侵设备存在被纳入僵尸网络风险。
根据网络空间测绘(网站空间)统计,全网可直接访问并暴露 fnOS Web 页面设备约 306,766 台。
注意:该数字来自公开测绘快照,受扫描时间点、动态公网 IP、端口映射/反代、去重口径等影响,实际暴露规模可能与该值不一致,仅用于风险态势评估。
时间线
最早入侵记录:约 12 天前(1 月 19 日左右)
用户察觉异常:约 10 天前(1 月 21 日左右),主要因设备出现对外异常行为(含对外攻击/连接异常增多)导致网络不稳定而被发现
1 月 21–22 日期间观测到任务/指令下发行为
综合判断:攻击者至少利用了约 3–4 天“空窗期” 在用户察觉前完成感染、持久化与回连准备
官方侧:据反馈,官方约在 1 月 21 日左右因用户集中反映“建立大量连接、网络不稳定”等现象,才进一步定位并确认漏洞风险
强调
所有用户立刻停止公网暴露 fnOS Web 管理页面。
这是当前最关键、最有效的止损措施。无论是否升级、是否自查“暂未发现异常”,都不要再让 Web 管理面可被公网直接访问。
“升级到新版本”并不等于风险解除。
目前无法确认新版本已覆盖全部修复点,仅依赖升级不能作为安全保证;在 Web 仍暴露公网的情况下仍可能被再次利用或二次入侵。
官方目前未公开可复用、可验证的完整处置方案。
因此不建议在联网状态下“边运行边清理”。
不要指望“屏蔽某个 IP / 屏蔽单个 C2 域名”解决问题。
已确认存在多个 C2 域名/基础设施轮换,单点封堵不一定有效,且可能快速失效。
已捕捉到 DDoS 指令:被控设备可能被用来对外攻击。
这不仅会造成你的网络被打满、设备性能异常、业务不可用,也可能引发运营商封禁。
处置
A1. 未发现入侵迹象的用户:
1.立即关闭公网访问,撤销端口映射/公网反代/暴露端口;仅允许内网访问,或使用 VPN/零信任网关进入内网后访问管理面;在网关处限制来源 IP(最小化暴露面)。
2.持续监控
再次强调:未中招用户也不要再暴露 Web。“没被打到”不代表安全,反而意味着资产仍处于可被扫描与补种的窗口内。
A2.已疑似/确认中招的用户
第一步:立刻断网隔离(物理断网优先)。
不要让设备继续联网回连 C2,也不要让其继续执行任务或触发 DDoS。
第二步:在断网环境下清除与排查(不要边联网边操作)。
中招用户共识建议:离线状态下进行木马清除、检查并处理定时任务/计划任务、启动项、可疑账号与权限、异常容器/进程、异常文件变更等持久化点。
第三步:清理完成前不要恢复联网。
在缺乏完整、可验证的清除方案前,贸然联网可能导致再次回连、二次下发任务或触发破坏行为。
第四步:保留日志与证据。
