開源網店ECShop又見后門 補丁程序再遭感染

您的位置： 公告 - 行業新聞 - 開源網店ECShop又見后門 補丁程序再遭感染

    ECShop是很多站長喜歡用的網店程序，其V2.7.3版本用戶甚眾。

    2013年5月，SCANV網站安全中心曾經響應過ECShop網店程序的后門事件，本以為此事已了，不料在近日，又有安全研究人員在漏洞平臺Wooyun上發現了ECShop官方補丁的后門代碼。

    經SCANV網站安全研究人員分析發現，這一次的后門代碼存在于一個編號為273utf8_patch006的歷史補丁文件包中。駭客將補丁包里的（\admin\privilege.php）文件篡改后，插入了一段記錄后臺用戶及密碼等信息的代碼，并發送到一個由黑客控制的服務器上。值得注意的是，SCANV安全研究人員在分析前兩次補丁后門代碼里并沒有發現本次的后門代碼，因此，本次后門事件可能發生在前兩次篡改之前。

    本次駭客植入的后門代碼：

    文件\admin\privilege.php代碼113-114行： 

    通過進一步分析發現“http://[馬賽克]/”網站實際是被黑客入侵控制的網站（“肉雞”），而且黑客用來收集密碼等信息的文件目錄還可以“歷遍文件”，經過SCANV網站安全研究人員的下載并去重，發現大概有90個域名網站受影響。