開源網(wǎng)店ECShop又見后門 補(bǔ)丁程序再遭感染
您的位置: 公告 - 行業(yè)新聞 - 開源網(wǎng)店ECShop又見后門 補(bǔ)丁程序再遭感染
ECShop是很多站長喜歡用的網(wǎng)店程序,其V2.7.3版本用戶甚眾。
2013年5月,SCANV網(wǎng)站安全中心曾經(jīng)響應(yīng)過ECShop網(wǎng)店程序的后門事件,本以為此事已了,不料在近日,又有安全研究人員在漏洞平臺Wooyun上發(fā)現(xiàn)了ECShop官方補(bǔ)丁的后門代碼。
經(jīng)SCANV網(wǎng)站安全研究人員分析發(fā)現(xiàn),這一次的后門代碼存在于一個編號為273utf8_patch006的歷史補(bǔ)丁文件包中。駭客將補(bǔ)丁包里的(\admin\privilege.php)文件篡改后,插入了一段記錄后臺用戶及密碼等信息的代碼,并發(fā)送到一個由黑客控制的服務(wù)器上。值得注意的是,SCANV安全研究人員在分析前兩次補(bǔ)丁后門代碼里并沒有發(fā)現(xiàn)本次的后門代碼,因此,本次后門事件可能發(fā)生在前兩次篡改之前。
本次駭客植入的后門代碼:
文件\admin\privilege.php代碼113-114行:
通過進(jìn)一步分析發(fā)現(xiàn)“http://[馬賽克]/”網(wǎng)站實(shí)際是被黑客入侵控制的網(wǎng)站(“肉雞”),而且黑客用來收集密碼等信息的文件目錄還可以“歷遍文件”,經(jīng)過SCANV網(wǎng)站安全研究人員的下載并去重,發(fā)現(xiàn)大概有90個域名網(wǎng)站受影響。
2013年5月,SCANV網(wǎng)站安全中心曾經(jīng)響應(yīng)過ECShop網(wǎng)店程序的后門事件,本以為此事已了,不料在近日,又有安全研究人員在漏洞平臺Wooyun上發(fā)現(xiàn)了ECShop官方補(bǔ)丁的后門代碼。
經(jīng)SCANV網(wǎng)站安全研究人員分析發(fā)現(xiàn),這一次的后門代碼存在于一個編號為273utf8_patch006的歷史補(bǔ)丁文件包中。駭客將補(bǔ)丁包里的(\admin\privilege.php)文件篡改后,插入了一段記錄后臺用戶及密碼等信息的代碼,并發(fā)送到一個由黑客控制的服務(wù)器上。值得注意的是,SCANV安全研究人員在分析前兩次補(bǔ)丁后門代碼里并沒有發(fā)現(xiàn)本次的后門代碼,因此,本次后門事件可能發(fā)生在前兩次篡改之前。
本次駭客植入的后門代碼:
文件\admin\privilege.php代碼113-114行:
通過進(jìn)一步分析發(fā)現(xiàn)“http://[馬賽克]/”網(wǎng)站實(shí)際是被黑客入侵控制的網(wǎng)站(“肉雞”),而且黑客用來收集密碼等信息的文件目錄還可以“歷遍文件”,經(jīng)過SCANV網(wǎng)站安全研究人員的下載并去重,發(fā)現(xiàn)大概有90個域名網(wǎng)站受影響。