分类分类
2015-03-31 11:09作者:zhao
这个后门挺可怕的。我的前一个站点网站方访问突然不正常了。开始以为是DNS问题,排除了。后来以为是域名问题,排除了。最后搞得怀疑是不是空间商问题,也排除了。后来才想到里面有个后台会推送东西过来,让我想起来有后门。
初步观察后门涉及以下几个文件
文件路径/admin/templates/index.htm
<frame src="http://api.ecshop.com/record.php?mod=login>url={$shop_url}" id="hidd-frame" name="hidd-frame" frameborder="no" scrolling="no">
</frameset>
文件路径/admin/templates/menu.htm
<script language="JavaScript" src="http://api.ecshop.com/menu_ext.php?charset={$charset}>lang={$help_lang}"></script>
文件路径/admin/templates/start.htm
<ul style="padding:0; margin: 0; list-style-type:none; color: #CC0000;">
<!-- <script type="text/javascript" src="http://bbs.ecshop.com/notice.php?v=1>n=8>f=ul"></script>-->
</ul>
1、删除【云服务中心】
删除/admin/cloud.php
删除/admin/templates/menu.htm中以下代码
Ajax.call('cloud.php?is_ajax=1>act=menu_api','', start_menu_api, 'GET', 'JSON');
删除/admin/templates/start.htm中以下代码
Ajax.call('cloud.php?is_ajax=1>act=cloud_remind','', cloud_api, 'GET', 'JSON');
function cloud_close(id)
{
Ajax.call('cloud.php?is_ajax=1>act=close_remind>remind_id='+id,'', cloud_api, 'GET', 'JSON');
}
删除/languages/zh_cn/admin/cloud.php
2、删除【数据库管理】-【转换数据】
删除/admin/convert.php
删除/admin/templates/convert_main.htm
删除/languages/zh_cn/convert目录及目录下的所有文件
删除/languages/zh_cn/admin/convert.php
/admin/includes/inc_menu.php中删除以下代码
$modules['13_backup']['convert'] = 'convert.php?act=main';
/admin/includes/inc_priv.php中删除以下代码
$purview['convert'] = 'convert';
/languages/zh_cn/admin/priv_action.php中删除以下代码
$_LANG['convert'] = '转换数据';
3、删除【系统设置】-【授权证书】
删除/admin/license.php
删除admin/templates/license.htm
删除/admin/includes/inc_menu.php中以下代码
$modules['11_system']['shop_authorized'] = 'license.php?act=list_edit';
删除/languages/zh_cn/admin/priv_action.php中以下代码
$_LANG['shop_authorized'] = '授权证书';
4、删除后台右上角【帮助】和【关于ECSHOP】
删除/admin/templates/top.htm中以下代码
<li><a href="/knowledge/used.html?act=about_us" target="main-frame">{$lang.about}</a></li>
<li><a href="javascript:web_address();">{$lang.help}</a></li>
相关