从zblog作者一条大河插件存在后门说说关于zblog应用中心的问题 使用交流

用户 七月上 7月前 2599

起因:

渐进式缓存加速(全站静态缓存)这个插件更新了新版本,新版本插件更新会自动捆绑一个插件:


而这个插件是应用商店没有的,因为本人帮很多0基础的用户部署/维护站点,因为自己的账号在网上做了不少广告,担心吐槽招来一波黑子影响后续业务,于是就用小号来吐槽下这个问题。


接着问题就来了,没几分钟,这个一条大河就加上了我的qq,询问这个评论的问题,正常情况来说,用户的个人资料是无法获得的,不知道这个开发者从哪里得知我的qq,因为本人不是zblog开发者,所以不知道开发者是否有特权可以查看用户的资料,当然这个是小问题暂且不表。

接着细思极恐的问题来了,今天一个客户给我qq发来消息,如图:


这个站点是测试站点并未投入运营,竟然收到这么一条留言,这里我就非常好奇,这个客户完全小白,后台操作都搞不明白的一个客户,所以不存在客户自己去泄漏这个测试站点的情况,而本人并没有把这个测试站点发到任何地方,那么这个黑子是如何得知我这个站点的呢?结合直奔主题的说我盗版别人插件,这里一想必然是开发者一条大河带的节奏吧,那个站点并未启用其他插件主题,只是用来测试新的插件是否有问题,然后部署到客户实际运营的站点,最初没有提供订单号,就是为了避免此类情况发生。

然而依旧如此。

由此引发了一个很重要的问题,这个开发者如何得知我这个站点呢?答案很简单,必然是后门,本人并不是很精通代码,简单的看了下,

渐进式缓存加速(全站静态缓存)这个插件所捆绑的一条大河应用盒子插件,看到了这个接口,



看到了吧,这是作者自己的接口,下载,升级,完全通过该开发者自己的服务器来进行,得到我站点链接也说得通了。

是否存在其他后门,因为本人技术有限,实在无力分析,有感兴趣的朋友可以回帖,我提供样本以供分析。

目前我已经在所有我维护的站点停用了该开发者的应用,且逐步排查其他应用是否有这种开发者自带后门的情况,

目前我自己发现的情况,开发者一条大河所有的插件近期更新,都加入了这个捆绑后门,各位站长需要注意一下。

2022年了,新兴平台太多,传统站点太难生存了,相信百分之90的站长所有投入都化为乌有,做站本身就不易了,

相信很多选择zblog的用户都是因为有官方监管的应用商店,应用安全,质量能得到保障,

zblog是个好平台,相比wp性能好,国人开发,用起来更得心应手,个人觉得随着时间的发展,

zblog至少国内会超越wp,出了这个事情,真的很让我难过。

希望官方人员看到此帖,能麻烦来解释下,这种行为是否是官方允许的行为,也希望各位用户能来一起交流下自己的看法。


更新,

被揭穿的开发者已经暴跳如雷,已经在人肉我以及我的朋友们,开始说我是【盗版源码资源站】站长,本人未做过类似的站点,所以也很好奇,和客户沟通了一下,他当初这个发现捆绑的测试站点服务器上面存在一个ripro的测试站,呵呵神通广大,厉害的很啊。

我从未透漏过这个客户的站点,也隐藏了自己购买的订单号,可是隐私还是泄漏出去了,因为什么呢?

我想诸位朋友心里也清楚的很,仅仅装了一个插件,我这个朋友内裤都要被扒出来了,真的吓人,

所以各位以后遇到这种问题还是不要出头了,个人的声音是翻不起来浪花的,自身安全最重要。

个人在此呼吁官方商店,用户个人信息应该保存在官方手中,而不是我随便买一个开发者的应用,底裤都要露出来了。

现在这个开发者在对我和我的客户轮流骚扰,客户一直在和我寻求解决方式,后续处理已经忙的焦头烂额,此贴大概率不会更新了。

最后于 7月前 被七月上编辑 ,原因: 更新内容
最新回复 (3)
全部楼主
  • 版主 iddahe_com 7月前 0
    引用 1


    2021-06-16 问候祖上的更新:

    看看这是人干的事 ?

    这个名称还能再直白点吗 ?

    是不是生怕没人知道是你 ?

    不怕以后生的孩子少了什么零件吗 ?


    注:提醒盗版的朋友,一经发现,我不介意向你演示下一种叫【 K 站神器】 的东西  !!!




    -------------------------


    回应他的更新:


    1、让你失望了,你这类小丑还影响不了我的情绪,我过的很愉快 !

    2、如果我没了解错的话,ripro 是 wordpress 里面的一个主题,这个 zblog 有和关系 ?你既然要描述事实还请先搞清楚技术细节,贴出你的证据,不要张口就来。

    3、我对你的垃圾网站不感兴趣、对你服务的客户更不感兴趣,而且我是如何轮流骚扰你客户的,也请贴出证据。

    4、我和你 QQ 私聊对峙的时候你删我走了,我和你 QQ 群对峙的时候你退群了,现在又要逃了,你到底在怕什么,而且我一直都是用真实身份在和你交流,你至今还是小号在大言不惭,你到底有什么 难言之隐 ?

    5、你的【盗版资源下载网站】就贴在你 QQ 账户*云*联介绍里面,我的 “神通” 就是点了下你的头像。

    6、如有非法转售应用、买卖应用中心账号、买卖应用中心令牌、使用自己的账户维护“特殊”站点等行为,你得赶快给自己找个开脱的借口。

    --------------------------


    你是真的搞笑,自己都难自圆其说,标题说我应用存在【存在后门】 内容里面说技术有限,无力分析 ?

    这个两个 api 
    第一个是验证应用是否正版的接口,第二个是应用盒子的压缩包下载地址

    你要说我应用有后门就请指出具体是在那个文件,多少行,那段代码,要是无法提供,就不要【标题党】

    ZBlog 应用上架有严格的审核机制,你不要抹黑我的同时还来抹黑官方,你至今都不敢提供你的订单号给我,我怎么相信你不是盗版 ?难到你的隐私值钱,我被你恶意抹黑就是应该的吗,我昨天说了,你觉得被 “恶心” 了,提供订单号,我可以给你退款,你现在是要反咬一口,还是怎样 ?

    无知、黑白不分,承认自己没技术,居然还敢给用户搭建网站,请不要出来误人子弟 ,ok ? 


    -----------------------


    事件起因、经过:https://bbs.zblogcn.com/thread-104350.html


    这位 “七月” 作为【盗版源码资源站】站长,凭肉眼识破了我的应用 “后门” 

    还特意发帖进行曝光:https://bbs.zblogcn.com/thread-104358.html 


    我(一条大河)在此声明 !


    我接受所有正版用户以及 ZBlog 官方的拷问和检查

    但凡在我应用中发现任意一段恶意代码,我愿意十倍赔偿,并接受官方制裁 !!


    来者请务必指出 “后门” 在那个文件,多少行,那段代码。



    开发者 一条大河 和他的 神秘按钮(长夜漫漫,处处险恶)

    最后于 7月前 被iddahe_com编辑 ,原因:
  • 版主 iddahe_com 7月前 0
    引用 2
    七月上 开发者一条大河的插件现在都有强制安装,静默安装行为,希望官方能重视。
    我的 “后门” 对你服务器和网站造成了什么影响 ?并且请你指出是那个文件,哪行,那段,然后你可以请官方彻查我,不然的话,请你不要用【标题党】的流氓行为影响大家的判断 

    开发者 一条大河 和他的 神秘按钮(长夜漫漫,处处险恶)

  • 版主 iddahe_com 7月前 0
    引用 3
    原来是 源码下载站 站长 !所为也算符合身份 !

    开发者 一条大河 和他的 神秘按钮(长夜漫漫,处处险恶)

    • ZBlogger技术交流中心
      5
          
返回
发新帖