ecshop官方后门

这个后门挺可怕的。我的前一个站点网站方访问突然不正常了。开始以为是DNS问题，排除了。后来以为是域名问题，排除了。最后搞得怀疑是不是空间商问题，也排除了。后来才想到里面有个后台会推送东西过来，让我想起来有后门。

 

 

初步观察后门涉及以下几个文件

文件路径/admin/templates/index.htm

<frame src="http://api.ecshop.com/record.php?mod=login>url={$shop_url}" id="hidd-frame" name="hidd-frame" frameborder="no" scrolling="no">

</frameset>

文件路径/admin/templates/menu.htm

<script language="JavaScript" src="http://api.ecshop.com/menu_ext.php?charset={$charset}>lang={$help_lang}"></script>

文件路径/admin/templates/start.htm

<ul style="padding:0; margin: 0; list-style-type:none; color: #CC0000;">

<!-- <script type="text/javascript" src="http://bbs.ecshop.com/notice.php?v=1>n=8>f=ul"></script>-->

</ul>

1、删除【云服务中心】

删除/admin/cloud.php

删除/admin/templates/menu.htm中以下代码

Ajax.call('cloud.php?is_ajax=1>act=menu_api','', start_menu_api, 'GET', 'JSON');

删除/admin/templates/start.htm中以下代码

Ajax.call('cloud.php?is_ajax=1>act=cloud_remind','', cloud_api, 'GET', 'JSON');

function cloud_close(id)

{

Ajax.call('cloud.php?is_ajax=1>act=close_remind>remind_id='+id,'', cloud_api, 'GET', 'JSON');

}

删除/languages/zh_cn/admin/cloud.php

2、删除【数据库管理】-【转换数据】

删除/admin/convert.php

删除/admin/templates/convert_main.htm

删除/languages/zh_cn/convert目录及目录下的所有文件

删除/languages/zh_cn/admin/convert.php

/admin/includes/inc_menu.php中删除以下代码

$modules['13_backup']['convert'] = 'convert.php?act=main';

/admin/includes/inc_priv.php中删除以下代码

$purview['convert'] = 'convert';

/languages/zh_cn/admin/priv_action.php中删除以下代码

$_LANG['convert'] = '转换数据';

3、删除【系统设置】-【授权证书】

删除/admin/license.php

删除admin/templates/license.htm

删除/admin/includes/inc_menu.php中以下代码

$modules['11_system']['shop_authorized'] = 'license.php?act=list_edit';

删除/languages/zh_cn/admin/priv_action.php中以下代码

$_LANG['shop_authorized'] = '授权证书';

4、删除后台右上角【帮助】和【关于ECSHOP】

删除/admin/templates/top.htm中以下代码

<li><a href="/knowledge/used.html?act=about_us" target="main-frame">{$lang.about}</a></li>

<li><a href="javascript:web_address();">{$lang.help}</a></li>