由于8月份的ECSHOP通殺漏洞被國(guó)內(nèi)安全廠商爆出后,眾多使用ecshop程序源碼的用戶(hù)大面積的受到了網(wǎng)站被篡改,最明顯的就是外貿(mào)站點(diǎn)被跳轉(zhuǎn)到一些仿冒的網(wǎng)站上去,導(dǎo)致在谷歌的用戶(hù)訂單量迅速下降，從百度,谷歌,360,以及搜狗等等進(jìn)入到網(wǎng)站的用戶(hù)直接被跳轉(zhuǎn)到了一些賭bo網(wǎng)站上去,而且網(wǎng)站在各大引擎的收錄的快照中的標(biāo)題被篡改城一些與網(wǎng)站不相關(guān)的內(nèi)容，如圖：

而且網(wǎng)站直接被百度網(wǎng)址安全中心給攔截了,還有一些客戶(hù)用ecshop做的購(gòu)物平臺(tái)是一些產(chǎn)品上的交易,黑客通過(guò)最新的網(wǎng)站通殺漏洞提權(quán)拿到了網(wǎng)站所有權(quán)限,對(duì)數(shù)據(jù)庫(kù)進(jìn)行了篡改導(dǎo)致會(huì)員金額被篡改損失嚴(yán)重，對(duì)于這幾種用ecshop系統(tǒng)的用戶(hù)被入侵的情況,我們Sine安全技術(shù)立即對(duì)著幾個(gè)客戶(hù)網(wǎng)站進(jìn)行了詳細(xì)的程序代碼安全審計(jì),以及網(wǎng)站漏洞檢測(cè)和木馬后門(mén)清理,和漏洞修復(fù)。因?yàn)檫@幾個(gè)客戶(hù)之前網(wǎng)站被篡改跳轉(zhuǎn)后首先想到的是用備份覆蓋程序文件,但這一點(diǎn)只能解決當(dāng)時(shí)問(wèn)題因?yàn)楸淮鄹氖欠磸?fù)性質(zhì)的,導(dǎo)致大量的網(wǎng)站會(huì)員反映無(wú)法正常下訂單,對(duì)此產(chǎn)生的影響非常大，那么我來(lái)講解下處理此類(lèi)客戶(hù)問(wèn)題的具體過(guò)程,此次網(wǎng)站漏洞涉及到的版本為2.72,2.73,3.0.3.6.4.0最新版本都被利用,主要的利用漏洞的是該網(wǎng)站的sql注入執(zhí)行g(shù)etshell上傳腳本木馬,以及會(huì)員中心的xss跨站攻擊，被上傳的腳本木馬內(nèi)容如圖：

該腳本木馬也被稱(chēng)作為webshell木馬,可以對(duì)網(wǎng)站進(jìn)行上傳任何文件,以及編輯文件,操作mysql數(shù)據(jù)庫(kù)的信息,這個(gè)腳本木馬功能的強(qiáng)大性超過(guò)了ftp操作，而且還上傳了一些隱蔽性質(zhì)的后門(mén)木馬,導(dǎo)致網(wǎng)站被反復(fù)性質(zhì)的篡改,最主要的就是網(wǎng)站根源問(wèn)題就是漏洞的存在,導(dǎo)致上傳了備份文件沒(méi)過(guò)多久就又被上傳了木馬篡改了首頁(yè)內(nèi)容，對(duì)此那么對(duì)癥下藥的問(wèn)題解決關(guān)鍵就是修復(fù)漏洞所在,對(duì)于會(huì)員中心的sql遠(yuǎn)程注入getshell漏洞和xss跨站腳本攻擊漏洞進(jìn)行了詳細(xì)的代碼修復(fù)對(duì)于會(huì)員傳遞值的類(lèi)型轉(zhuǎn)換以及過(guò)濾非法函數(shù)的post提交轉(zhuǎn)換,和數(shù)據(jù)內(nèi)容的協(xié)議過(guò)濾都進(jìn)行了詳細(xì)的部署,還有一些圖片目錄的腳本權(quán)限也進(jìn)行了限制訪問(wèn)執(zhí)行，xss跨站攻擊的危害性到底有多大呢,說(shuō)的通俗點(diǎn)就是可以用xss拿到你管理員的登錄cookies并直接進(jìn)行登錄后臺(tái)操作，也可以直接js觸發(fā)在后臺(tái)post提交數(shù)據(jù)增加管理員用戶(hù),從而拿到后臺(tái)的管理地址和權(quán)限。很多沒(méi)有經(jīng)歷過(guò)xss跨扎攻擊的網(wǎng)站平臺(tái)都以為不以為然，沒(méi)去理會(huì)這個(gè)xss漏洞問(wèn)題，導(dǎo)致后期網(wǎng)站出了問(wèn)題才重視起來(lái),那時(shí)就有點(diǎn)晚了數(shù)據(jù)可能被拖庫(kù)下載打包了,一些平臺(tái)會(huì)員的數(shù)據(jù)信息被泄露。

如何修復(fù)ecshop漏洞，以及網(wǎng)站安全加固?

1、網(wǎng)站的后臺(tái)目錄名盡量不要用默認(rèn)的admin或guanli或houtai之類(lèi)的名稱(chēng)。

2、管理員的用戶(hù)名和密碼一定要設(shè)置復(fù)雜一點(diǎn),最好是大小寫(xiě)字母數(shù)字+符號(hào)最低12位的組合。

3、對(duì)于sql注入以及xss跨站腳本攻擊和變量函數(shù)轉(zhuǎn)義的過(guò)濾措施,如果對(duì)程序代碼不熟悉的話,建議找專(zhuān)業(yè)做網(wǎng)站安全的公司來(lái)處理，國(guó)內(nèi)推薦Sine安全公司，以及綠盟,啟蒙星辰等專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)處理.

4、對(duì)于開(kāi)源程序的ecshop代碼進(jìn)行詳細(xì)的代碼審計(jì)和防護(hù)以及部署網(wǎng)站程序文件防篡改,以及網(wǎng)站數(shù)據(jù)的備份機(jī)制來(lái)減少最低的損失。

5、如果網(wǎng)站找了二次開(kāi)發(fā)的人員進(jìn)行了功能上的修改,記得一定要告訴程序員嚴(yán)格過(guò)濾非法參數(shù)的傳遞以及調(diào)用包含文件的函數(shù)和操作,不能把非法參數(shù)帶入sql查詢(xún)中，對(duì)一些轉(zhuǎn)義函數(shù)上一定要嚴(yán)格使用。