由于8月份的ECSHOP通殺漏洞被國内安全廠商爆出後,衆多使用ecshop程式源碼的使用者大面積的受到了網站被篡改,最明顯的就是外貿站點被跳轉到一些仿冒的網站上去,導緻在谷歌的使用者訂單量迅速下降,從百度,谷歌,360,以及搜狗等等進入到網站的使用者直接被跳轉到了一些賭bo網站上去,而且網站在各大引擎的收錄的快照中的标題被篡改城一些與網站不相關的内容,如圖:
而且網站直接被百度網址安全中心給攔截了,還有一些客戶用ecshop做的購物平台是一些産品上的交易,黑客通過最新的網站通殺漏洞提權拿到了網站所有權限,對資料庫進行了篡改導緻會員金額被篡改損失嚴重,對于這幾種用ecshop系統的使用者被入侵的情況,我們Sine安全技術立即對着幾個客戶網站進行了詳細的程式代碼安全審計,以及網站漏洞檢測和木馬後門清理,和漏洞修複。因為這幾個客戶之前網站被篡改跳轉後首先想到的是用備份覆寫程式檔案,但這一點隻能解決當時問題因為被篡改是反複性質的,導緻大量的網站會員反映無法正常下訂單,對此産生的影響非常大,那麼我來講解下處理此類客戶問題的具體過程,此次網站漏洞涉及到的版本為2.72,2.73,3.0.3.6.4.0最新版本都被利用,主要的利用漏洞的是該網站的sql注入執行getshell上傳腳本木馬,以及會員中心的xss跨站攻擊,被上傳的腳本木馬内容如圖:
該腳本木馬也被稱作為webshell木馬,可以對網站進行上傳任何檔案,以及編輯檔案,或操作mysql資料庫的資訊,這個腳本木馬功能的強大性超過了ftp操作,而且還上傳了一些隐蔽性質的後門木馬,導緻網站被反複性質的篡改,最主要的就是網站根源問題就是漏洞的存在,導緻上傳了備份檔案沒過多久就又被上傳了木馬篡改了首頁内容,對此那麼對症下藥的問題解決關鍵就是修複漏洞所在,對于會員中心的sql遠端注入getshell漏洞和xss跨站腳本攻擊漏洞進行了詳細的代碼修複對于會員傳遞值的類型轉換以及過濾非法函數的post送出轉換,和資料内容的協定過濾都進行了詳細的部署,還有一些圖檔目錄的腳本權限也進行了限制通路執行,xss跨站攻擊的危害性到底有多大呢,說的通俗點就是可以用xss拿到你管理者的登入cookies并直接進行登入背景操作,也可以直接js觸發在背景post送出資料增加管理者使用者,進而拿到背景的管理位址和權限。很多沒有經曆過xss跨紮攻擊的網站平台都以為不以為然,沒去理會這個xss漏洞問題,導緻後期網站出了問題才重視起來,那時就有點晚了資料可能被拖庫下載下傳打包了,一些平台會員的資料資訊被洩露。
如何修複ecshop漏洞,以及網站安全加強?
1、網站的背景目錄名盡量不要用預設的admin或guanli或houtai之類的名稱。
2、管理者的使用者名和密碼一定要設定複雜一點,最好是大小寫字母數字+符号最低12位的組合。
3、對于sql注入以及xss跨站腳本攻擊和變量函數轉義的過濾措施,如果對程式代碼不熟悉的話,建議找專業做網站安全的公司來處理,國内推薦Sine安全公司,以及綠盟,啟蒙星辰等專業的網站安全公司來處理.
4、對于開源程式的ecshop代碼進行詳細的代碼審計和防護以及部署網站程式檔案防篡改,以及網站資料的備份機制來減少最低的損失。
5、如果網站找了二次開發的人員進行了功能上的修改,記得一定要告訴程式員嚴格過濾非法參數的傳遞以及調用包含檔案的函數和操作,不能把非法參數帶入sql查詢中,對一些轉義函數上一定要嚴格使用。