ecshop 7号补丁再次出现隐蔽后门

ecshop被收购后,就不知道是怎么了
2013年5月7号更新的7号补丁,但是下载下来后,我发现明显不对。
第一,includes目录里面多了个install文件夹,原来是没有这个文件夹的,并且里面全是js(最后发现这个目录根本没用到,骇客大哥你做事情能仔细点不)
第二,admin/js目录里面全部js都上来了(后面通过文件比较发现只有一个文件有修改)
好了,我们要分析下这位骇客大哥干的“好事”。
首先,他修改了includeslib_base.php文件的write_static_cache函数
把原来的:

2

 

修改成了:

3

 

很明显这个为了写文件,这位大哥的毛病又犯了,不知道大哥用的什么编辑器,修改后文件编码从utf-8变成了utf-8+

4

 

造成的后果是如果打了这个补丁的网站会出现:

5

 

代码调用的地方在:

文件位置:includesfckeditoreditordialogfck_spellerpagesspellerpagesserver-scriptsspellchecker.php(这个文件够深)

7

 

这个样子后,你就可以随便弄个表单提交到spellchecker.php,提交一个文件名和内容就可以了。可以生成任何内容的文件。

大牛还整了个统计的,真是有心拉,在文件adminjscommon.js

6

 

把中招的网址发到 http://bbs.ecshop.com/forumdata/logs/install.php还故意用的bbs.ecshop.com来躲避嫌疑

这个补丁的问题我当天就发现了,但是最近一直比较忙没有公布出来,心想ecshop应该会发现吧,但是半个月过去了都没反应,我就抽空写了出来,
我想说的是ecshop肿么了!

摘自:http://www.lpboke.com/ecshop7%e5%8f%b7%e8%a1%a5%e4%b8%81%e5%86%8d%e6%ac%a1%e5%87%ba%e7%8e%b0%e5%90%8e%e9%97%a8.html

本文固定链接: https://www.unhonker.com/bug/1155.html | 90' s Blog|关注网络信息安全

该日志由 unhonker 于2013年05月22日发表在 漏洞公布 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: ecshop 7号补丁再次出现隐蔽后门 | 90' s Blog|关注网络信息安全
关键字:

ecshop 7号补丁再次出现隐蔽后门:目前有2 条留言

  1. 沙发
    cai240264683:

    不知道多少人看过这篇文章了,但是我是新手,看过后,云里雾里,最后只能轻轻飘过,带走一小片云彩 😀

    2013-05-22 23:57

发表评论

您必须 [ 登录 ] 才能发表留言!