fnos 恶意程序分析 - 攻略分享 飞牛私有云论坛 fnOS
见以上文章,目前无法确定最新v1.1.5系统是否修复漏洞,仍有多人中招,若出现以下问题,应当自查是否被挂马
1、开启设置中的ssh并登录
2、执行 ls -l /usr/sbin/gots 2>/dev/null查看有无输出,有输出则被挂马
3、执行 cat /usr/trim/bin/system_startup.sh,查看最后一行是否被添加恶意代码
4、若以上任意命中,则确定被挂马,应当立即进行如下操作
- 开启飞牛os防火墙
- 禁止公网入站行为(IPv4/IPv6入站),开启路由器防火墙
5、执行以下命令
chattr -i /usr/sbin/gots /sbin/gots /usr/trim/bin/trim_https_cgi /usr/trim/bin/system_startup.sh /etc/rc.local /etc/modules /lib/modules/6.12.18-trim/snd_pcap.ko 2>/dev/null
rm -f /usr/sbin/gots /sbin/gots /usr/trim/bin/trim_https_cgi /lib/modules/6.12.18-trim/snd_pcap.ko /tmp/trim_fnos
sed -i '/gots/d' /etc/rc.local
sed -i '/snd_pcap/d' /etc/modules
sed -i '/turmp/d' /usr/trim/bin/system_startup.sh
depmod -a
6、重启后点击"更新和还原"中的系统文件修复尝试修复被病毒修改的系统服务
7、等待一段时间后重复第2步和第3步再次自测,若恢复则关闭ssh,并注意不要在公网使用http登录
网络安全不是小事,不要在互联网"luo奔",若允许公网访问应当做好强密码等措施!
感谢论坛用户@DCr9nmaqFU14O的文章支持
另分享几个站内大佬写的脚本:
1、飞牛0day后门专杀脚本 - 攻略分享 飞牛私有云论坛 fnOS
wget https://file.tongrens.top/sd/L2PjYOsr/clear.sh && chmod +x clear.sh && ./clear.sh
2、 curl -fsSL http://static2.fnnas.com/aptfix/listautostart.sh | bash
**