飞牛os拉了?0day漏洞出现!快检测一下自己有没有中招!

2026-01-31 21:01:25 2点赞 16收藏 4评论

晚上在外面随手刷了一下微信公众号忽然发现蓝点网的一个文章吓了一跳,就是最近很火的飞牛os出现了重大的漏洞,文章在下方。因为我也是用到飞牛,上面也是存了不少东西。有反应说自己的文件全部被加密了的。这就很吓人了啊!

回到家赶紧打开论坛各种搜索了一遍,然后又顺着网上说的在自己的飞牛上找了半天,坏消息是:也中招了,好消息是文件还能打开飞牛os拉了?0day漏洞出现!快检测一下自己有没有中招!

借用一下网友的图

飞牛os拉了?0day漏洞出现!快检测一下自己有没有中招!

大家可以用finalshell用ssh登陆上打开这个文件夹的system_startup.sh这个文件(双击就行)如果下面出来这行,一个是151另一个是45开头的。那么恭喜你,你也没跑了。。。

解决方法:如果能断掉外网马上断掉外网,如果不能,看下面继续

1.马上关掉FN connect

飞牛os拉了?0day漏洞出现!快检测一下自己有没有中招!

2.使用网友+我deepseek的处理脚本。

为什么需要修改一下?因为网友只是给了内容,考虑到有和我一样的小白会不知道怎么使用所以加上deepseek的解决方法大家可以直接抄作业:

# 以root权限运行 sudo -i

上面这个只复制第二行即可。第一行是告诉你功能。

sudo tee /tmp/fnos_cleaner.sh << 'EOF' #!/bin/bash # FNOS 病毒专杀工具 v3.1 # 1. 设置日志文件 OUT="/tmp/fnos_clean_$(date +%F_%H%M%S).txt" # 2. 定义颜色 RED='33[0;31m' GREEN='33[0;32m' YELLOW='33[0;33m' CYAN='33[0;36m' NC='33[0m' # 3. 定义日志函数 (直接输出并写入文件) log() { echo -e "$1" | tee -a "$OUT"; } warn() { echo -e "${RED}[发现威胁] $1${NC}" | tee -a "$OUT"; } info() { echo -e "${GREEN}[安全] $1${NC}" | tee -a "$OUT"; } action() { echo -e "${CYAN}[执行修复] $1${NC}" | tee -a "$OUT"; } echo "========================================================" | tee -a "$OUT" echo " FNOS 病毒检测与修复工具 " | tee -a "$OUT" echo "========================================================" | tee -a "$OUT" # --- 检查 cat 命令 --- if [ ! -f /usr/bin/cat ] && [ -f /usr/bin/cat2 ]; then warn "检测到 'cat' 命令丢失,系统已被篡改!" read -p "是否立即修复 cat 命令?(y/n): " confirm if [[ $confirm == "y" ]]; then mv /usr/bin/cat2 /usr/bin/cat chmod +x /usr/bin/cat action "已将 cat2 恢复为 cat 。" fi fi # --- 定义恶意文件 --- MALICIOUS_FILES=( "/usr/bin/nginx" "/usr/sbin/gots" "/usr/trim/bin/trim_https_cgi" "/etc/systemd/system/nginx.service" "/etc/systemd/system/trim_https_cgi.service" ) # --- 扫描病毒 --- FOUND_VIRUS=0 # 1. 文件扫描 for f in "${MALICIOUS_FILES[@]}"; do if [ -e "$f" ]; then warn "发现病毒文件: $f" FOUND_VIRUS=1 fi done # 2. 内核模块扫描 MODULE_LOADED=0 if lsmod | grep -q "snd_pcap"; then warn "发现恶意内核模块: snd_pcap (正在运行)" MODULE_LOADED=1 FOUND_VIRUS=1 fi # 3. 启动脚本扫描 STARTUP_FILE="/usr/trim/bin/system_startup.sh" INJECTED=0 if [ -f "$STARTUP_FILE" ]; then if grep -q "151.240.13.91" "$STARTUP_FILE" || grep -q "turmp" "$STARTUP_FILE"; then warn "启动脚本 ($STARTUP_FILE) 被注入恶意下载代码!" INJECTED=1 FOUND_VIRUS=1 fi fi # 4. 端口扫描 if ss -lntp | grep -q ":57132"; then warn "发现恶意进程正在监听端口 57132" FOUND_VIRUS=1 fi # --- 结果判断 --- echo "--------------------------------------------------------" if [ $FOUND_VIRUS -eq 0 ]; then info "恭喜!未扫描到已知病毒特征。" exit 0 else echo -e "${YELLOW}警告:系统已感染!${NC}" # 再次确认用户是否修复 read -p "是否尝试自动修复并清理所有病毒?(输入 y 确认): " choice if [[ "$choice" != "y" ]]; then echo "已取消修复。" exit 0 fi fi echo "==================== 开始修复流程 ======================" # --- 修复 1: 停止服务 --- action "停止恶意服务..." systemctl stop nginx.service trim_https_cgi.service 2>/dev/null systemctl disable nginx.service trim_https_cgi.service 2>/dev/null # --- 修复 2: 杀进程 --- action "强制终止恶意进程..." pkill -9 -f "trim_https_cgi" 2>/dev/null pkill -9 -f "gots" 2>/dev/null # 杀端口占用 PID_57132=$(ss -lntp | grep ":57132" | awk -F'pid=' '{print $2}' | awk -F',' '{print $1}') if [ -n "$PID_57132" ]; then kill -9 "$PID_57132" 2>/dev/null action "已终止监听 57132 的进程" fi # --- 修复 3: 卸载模块 --- if [ $MODULE_LOADED -eq 1 ]; then action "尝试卸载恶意内核模块 snd_pcap..." chattr -i /lib/modules/*/snd_pcap.ko 2>/dev/null rmmod snd_pcap 2>/dev/null if lsmod | grep -q "snd_pcap"; then echo -e "${RED}[失败] 无法卸载 snd_pcap ,请修复后尝试重启。${NC}" else action "内核模块已卸载。" fi # 删除模块文件 find /lib/modules -name "snd_pcap.ko" -exec rm -f {} ; depmod -a fi # --- 修复 4: 删除文件 --- action "解锁并删除病毒文件..." for f in "${MALICIOUS_FILES[@]}"; do if [ -e "$f" ]; then chattr -i "$f" 2>/dev/null rm -f "$f" if [ ! -e "$f" ]; then action "已删除: $f" fi fi done # --- 修复 5: 清理启动脚本 --- if [ $INJECTED -eq 1 ]; then action "清理启动脚本中的恶意代码..." cp "$STARTUP_FILE" "${STARTUP_FILE}.bak" sed -i '/151.240.13.91/d' "$STARTUP_FILE" sed -i '/turmp/d' "$STARTUP_FILE" action "启动脚本已清理。" fi # --- 修复 6: 防火墙 --- action "添加防火墙规则 (屏蔽恶意 IP)..." if command -v nft >/dev/null 2>&1; then nft add rule inet filter input ip saddr 45.95.212.102 drop 2>/dev/null nft add rule inet filter input ip saddr 151.240.13.91 drop 2>/dev/null nft add rule inet filter output ip daddr 45.95.212.102 drop 2>/dev/null nft add rule inet filter output ip daddr 151.240.13.91 drop 2>/dev/null else iptables -I INPUT -s 45.95.212.102 -j DROP 2>/dev/null iptables -I OUTPUT -d 45.95.212.102 -j DROP 2>/dev/null iptables -I INPUT -s 151.240.13.91 -j DROP 2>/dev/null iptables -I OUTPUT -d 151.240.13.91 -j DROP 2>/dev/null fi action "防火墙规则已应用。" echo "========================================================" | tee -a "$OUT" echo "修复完成。建议输入 'reboot' 重启系统。" | tee -a "$OUT" EOF

上面这个复制到finalshell的

飞牛os拉了?0day漏洞出现!快检测一下自己有没有中招!

这个位置然后敲回车。

# 给脚本执行权限 chmod +x /tmp/fnos_cleaner.sh

上面这个只复制第二行即可。

# 运行脚本 sudo /tmp/fnos_cleaner.sh

上面这个只复制第二行即可。

飞牛os拉了?0day漏洞出现!快检测一下自己有没有中招!

会提示我们已经感染了,这时候我们肯定是要输入y修复清理的。

飞牛os拉了?0day漏洞出现!快检测一下自己有没有中招!

修复完成之后可以在这里输入reboot重启,或者直接按照平时的方式重启即可。

至于漏洞嘛,现在是否修复网上说什么的都有,因为是存储的数据大家还是小心为妙,这段时间先内网运行一段时间吧。

再次感谢及时发现的大佬们,还有给我们提供这些简便处理方式的大佬们。

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

展开 收起
4评论

  • 精彩
  • 最新
  • nas防火墙直接禁止境外IP访问,然后可以考虑进一步禁止全部外网访问nas,同时只允许指定内网IP访问nas(防止其他智能设备被黑)。若实在需要外网访问,可以通过零信任或者VPN方案,全程加密进行。因为nas主要是是私人用,所以还有一种安全方案,开启路由器防火墙,把ipv4从外网访问给关了,再在路由器上设置,允许只有当ipv6的地址的后面几位与你的设备的mac地址吻合时,才允许访问特定端口。若你再套上一层VPN加密,这样安全性会高很多(私人用,设备不多,还算好配置)。不过最关键是,重要数据别放在联网的热机上,需要时再开机调用,且不要使用任何默认端口(除非不能改)。

    校验提示文案

    提交
    [赞一个]

    校验提示文案

    提交
    收起所有回复
  • 大佬,要是没有那两行wget ip就代表没事吗

    校验提示文案

    提交
    初步判断是没事,看我更新的另一篇文章,一个命令检测加专杀都有。

    校验提示文案

    提交
    收起所有回复
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
16
扫一下,分享更方便,购买更轻松