ecshop被挂马，首页index.php总是被篡改成html代码，删不掉改不了还。

最近9月份出来的ecshop漏洞,对于2.72 .2.73 3.0 3.6 4.0版本的sql执行getshell漏洞导致的用ecshop程序的网站被入侵 user.php被删除 而且网站首页总是被篡改经常是标题和描述被修改从百度搜索打开网站跳转到一些博cai网站,应该对转义函数进行过滤防止post提交生成php脚本木马文件，而且这个被篡改的问题是反复性质的，清理删除代码后没过多久就又被篡改了。必须要对程序漏洞的返尘根源问题进行修复网站漏洞,清理已经被上传的隐蔽性的木马后门。

如果对程序代码不熟悉的话建议找专业做网站安全公司来处理此问题,国内推荐Sinesafe,绿盟,启镇凳蒙星辰御世旅等等。

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

网站挂马孝者是每个网站最头痛的问题，解决办法：1.在程序中很容易找到挂马的代码，直接删除，或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉

听朋友说 SineSafe 不错 你可以去看看。

清马+修补漏洞=彻底解决

所谓的挂马，就是黑客通过各种手段，包括SQL注入码裤，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒

清马

1、找挂马的标签，比如有<script language="javascript" src="网马地址"></script>或<iframe width=420 height=330 frameborder=0

scrolling=auto src=网马地址></iframe>，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是JS挂马。

2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。

在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。

修补漏洞（修补网站漏洞也就是做一下网站安全。）

1、修改网站后台的用户名和密码及后台的默认路径。

2、更改数据库名,如果是ACCESS数据库，那文件的扩展名最好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。

3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。

4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。

5、尽可能不巧模薯要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。

6、写入一些防挂马代码，让框架代码等挂马无效。

7、禁用FSO权限也是一种比较绝的方法。

8、修改网站部分文件夹的读写权限。

9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！

Ecshop是一套网络商城建站系统，主要服务于想快捷搭建商城系统的用户，该系统是个人建立商城的主流软件。

在网络上，主要有两种类型的网络购物，一类是像淘宝这样的C2C站点，另一类是像卓越这样的B2C站点。B2C站点除了卓越、当当等大型站点外，还有很多规模较小的B2C站点，由于这些中小型B2C站点数目较大，因此每天的成交量也非常可观。

这些的中小型B2C站点通常没有专业的建站团队，站点都是站长通过现成的商城程序搭建起来的，其中Ecshop网络商城系统用得最多，因此一旦这套系统出现安全问题，将会波及网络上所有采用这套系统建立的B2C站点。

但不幸的事情还是发生了，Ecshop出现了严重的安全漏洞，黑客可以运用 该漏洞入侵站点，窜改商品价格，更令人担忧的是该漏洞可以被用来挂马，所有访问商城的用户都会中毒，他们的各种账号和密码可能被盗。此外，黑客可以修改站点的支付接口，用户购买商品时货款会直接打到黑客的账户中。

本文主角：Ecshop商城 V2.5.0

问题所在：含有SQL漏洞

主要危害：用于挂马、入侵服务器等

Ecshop存在SQL注入漏洞

运用 Ecshop漏洞须要用到SQL注入。由于程序员的疏忽，没有对User.php文件中的SQL变量实行过滤，从而导致SQL注入的发生。黑客可以构造特殊的代码，直接读取存放在站点数据库中的管理员账号和密码。

漏洞的运用 非常基本，只需在站点地址后输入“user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*”这样一句代码就可以读出站点数据库中的管理员账号和密码。

挂马流程揭秘

第一步：寻找入侵目标

在百度或谷歌中以“Powered by Ecshop v2.5.0”为关键字实行搜索(图1)，可以找到很多符合条件的站点，随便挑选一个站点作为测试目标。须要留心的是，站点越小安全防护也越弱，成功率相比较较高。

第二步：获得管理员账号和密码

打开测试站点，在其网址后输入：user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。

例如该站点网址为http://www.***.com/，则完整的漏洞运用 地址为：http://www.***.com/ user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。

输入完毕后回车，如果看到类似图2的界面，则说明漏洞被运用 成功了。在返回的信息中，可以发觉很主要的内容，包括站点管理员的账号、密码及E-mail地址。从图2可以找到，管理员账号为admin，密码为c93ccd78b2076528346216b3b2f701e6。密码是经过MD5加密的，所以看到的是一串32位长的字符，须要对这串字符实行破解才能看到真实的密码。

第三步：破解MD5密码

虽然密码经过MD5加密，但是通过破解是可以得到密码原文的。将c93ccd78b2076528346216b3b2f701e6这段MD5值复制下来，打开MD5在线破解站点 http://www.cmd5.com/。

把这串MD5值复制到站点页面正中间的文本框中毁镇，点击“MD5加密或解密”按钮，密码原文就被破解出来了——admin1234(图3)。当然，破解MD5值靠的是运气，如果管理员将密码配置得很复杂，例如“数字+字母+特殊符号”的组合，那么就很难破解出密码原戚戚文。

如果MD5在线破解纤仔粗站点无法破解出密码原文，那么也可以采用MD5暴力破解软件来实行破解，当然耗费的时间会很长，在这里就不多作介绍了。

第四步：上传木马

既然管理员账号和密码都已拿到手，接下来我们就可以登录站点的后台了。在站点网址后输入admin并回车，将会出现站点后台登录页面，输入管理员账号admin、密码admin1234即可登录。

来到后台，我们可以看到Ecshop的站点后台功能是非常多的，当然这也给了我们上传木马的机会。点击“系统配置 ”中的“Flash播放器管理”链接(图4)。打开后再点击“添加自定义”按钮。

这时我们会来到一个上传图片的页面，在这里不仅仅可以上传图片，还能轻轻松松地上传木马!这里我们选择一款功能强大的PHP木马，点击“确定”按钮即可将木马上传(图5)。

上传成功后，进入“轮播图片地址”，在这里我们可以看到上传的木马的的路径(图6)。

将地址复制到浏览器地址栏中并打开，可以在里面任意浏览、修改甚至删除站点中的文件(图7)，最后就是在站点首页中插入挂马代码，当用户浏览商城首页的时候，就会激活病毒，病毒会偷偷地入侵用户的计算机。

防备方案

要修补该漏洞，须要对User.php文件中的SQL变量实行严格的过滤，不允许恶意调用变量查询数据库。普通读者在上网时，最好运用能拦截网页木马的安全辅助工具，防止网页木马的骚扰。

---