飘零验证后台自动清空用户数据

wxk520520

麻烦各位大手看看，飘零4.0管理端，已经做好了服务器正常使用，但是会出现隔一段时间用户的数据就会自动清空

freelive

盗版飘零4.0用户数据被清空
https://www.52pojie.cn/thread-340090-1-1.html

可以参考的分析帖子

首先想到的是管理端肯定有后门，所以就用抓包工具去看它倒底是连接了什么网站，果然它会偷偷连接飘的一个验证服务器，IP是：36.27.212.97  端口是80  ，网址是：http://plsyes.plyz.net  
它连接了向这个地址两次，其中有一次发送了一次数据，接着这个地址向管理端返回了两次数据，这时OD中看内存数据中多了几段代码，其中就包含上边提到的，域名 ,访问了该域名下的/sys/aip.asp 可以确定这几段代码是这个域名返回数据后才解码的。这个应该是管理端调用了某个模块访问http://plsyes.plyz.net ，如果连接成功就解码一段代码到内存并执行它，它的功能就是清空用户数据的。

wxk520520

顶上去，来大佬解惑