本文目录一览:
用的是ecshop网店系统,最近网站首页老是被黑,情况就是index.php给更改内容,请问怎么解决,急急急!
最近9月份出来的ecshop漏洞,对于2.72 .2.73 3.0 3.6 4.0版本的sql执行getshell漏洞导致的用ecshop程序的网站被入侵 而且网站首页总是被篡改经常是标题和描述被修改从百度搜索打开网站跳转到一些博cai网站,应该对转义函数进行过滤防止post提交生成php脚本木马文件,而且这个被篡改的问题是反复性质的,清理删除代码后没过多久就又被篡改了。
必须要对程序漏洞的根源问题进行修复网站漏洞,清理已经被上传的隐蔽性的木马后门。如果对程序代码不熟悉的话建议找专业做网站安全公司来处理此问题,国内推荐Sinesafe,绿盟,启蒙星辰等等。
木马是怎样攻入Ecshop商城的
Ecshop是一套网络商城建站系统,主要服务于想快捷搭建商城系统的用户,该系统是个人建立商城的主流软件。
在网络上,主要有两种类型的网络购物,一类是像淘宝这样的C2C站点,另一类是像卓越这样的B2C站点。B2C站点除了卓越、当当等大型站点外,还有很多规模较小的B2C站点,由于这些中小型B2C站点数目较大,因此每天的成交量也非常可观。
这些的中小型B2C站点通常没有专业的建站团队,站点都是站长通过现成的商城程序搭建起来的,其中Ecshop网络商城系统用得最多,因此一旦这套系统出现安全问题,将会波及网络上所有采用这套系统建立的B2C站点。
但不幸的事情还是发生了,Ecshop出现了严重的安全漏洞,黑客可以运用 该漏洞入侵站点,窜改商品价格,更令人担忧的是该漏洞可以被用来挂马,所有访问商城的用户都会中毒,他们的各种账号和密码可能被盗。此外,黑客可以修改站点的支付接口,用户购买商品时货款会直接打到黑客的账户中。
本文主角:Ecshop商城 V2.5.0
问题所在:含有SQL漏洞
主要危害:用于挂马、入侵服务器等
Ecshop存在SQL注入漏洞
运用 Ecshop漏洞须要用到SQL注入。由于程序员的疏忽,没有对User.php文件中的SQL变量实行过滤,从而导致SQL注入的发生。黑客可以构造特殊的代码,直接读取存放在站点数据库中的管理员账号和密码。
漏洞的运用 非常基本,只需在站点地址后输入“user.php?act=order_queryorder_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*”这样一句代码就可以读出站点数据库中的管理员账号和密码。
挂马流程揭秘
第一步:寻找入侵目标
在百度或谷歌中以“Powered by Ecshop v2.5.0”为关键字实行搜索(图1),可以找到很多符合条件的站点,随便挑选一个站点作为测试目标。须要留心的是,站点越小安全防护也越弱,成功率相比较较高。
第二步:获得管理员账号和密码
打开测试站点,在其网址后输入:user.php?act=order_queryorder_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*。
例如该站点网址为.***.com/,则完整的漏洞运用 地址为:.***.com/ user.php?act=order_queryorder_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*。
输入完毕后回车,如果看到类似图2的界面,则说明漏洞被运用 成功了。在返回的信息中,可以发觉很主要的内容,包括站点管理员的账号、密码及E-mail地址。从图2可以找到,管理员账号为admin,密码为c93ccd78b2076528346216b3b2f701e6。密码是经过MD5加密的,所以看到的是一串32位长的字符,须要对这串字符实行破解才能看到真实的密码。
第三步:破解MD5密码
虽然密码经过MD5加密,但是通过破解是可以得到密码原文的。将c93ccd78b2076528346216b3b2f701e6这段MD5值复制下来,打开MD5在线破解站点 。
把这串MD5值复制到站点页面正中间的文本框中,点击“MD5加密或解密”按钮,密码原文就被破解出来了——admin1234(图3)。当然,破解MD5值靠的是运气,如果管理员将密码配置得很复杂,例如“数字+字母+特殊符号”的组合,那么就很难破解出密码原文。
如果MD5在线破解站点无法破解出密码原文,那么也可以采用MD5暴力破解软件来实行破解,当然耗费的时间会很长,在这里就不多作介绍了。
第四步:上传木马
既然管理员账号和密码都已拿到手,接下来我们就可以登录站点的后台了。在站点网址后输入admin并回车,将会出现站点后台登录页面,输入管理员账号admin、密码admin1234即可登录。
来到后台,我们可以看到Ecshop的站点后台功能是非常多的,当然这也给了我们上传木马的机会。点击“系统配置 ”中的“Flash播放器管理”链接(图4)。打开后再点击“添加自定义”按钮。
这时我们会来到一个上传图片的页面,在这里不仅仅可以上传图片,还能轻轻松松地上传木马!这里我们选择一款功能强大的PHP木马,点击“确定”按钮即可将木马上传(图5)。
上传成功后,进入“轮播图片地址”,在这里我们可以看到上传的木马的的路径(图6)。
将地址复制到浏览器地址栏中并打开,可以在里面任意浏览、修改甚至删除站点中的文件(图7),最后就是在站点首页中插入挂马代码,当用户浏览商城首页的时候,就会激活病毒,病毒会偷偷地入侵用户的计算机。
防备方案
要修补该漏洞,须要对User.php文件中的SQL变量实行严格的过滤,不允许恶意调用变量查询数据库。普通读者在上网时,最好运用能拦截网页木马的安全辅助工具,防止网页木马的骚扰。
怎样盗取别人网站ecshop的模板?
拿站那是黑人家的网站,这个违法的,要盗人家的模板这个简单,下载一个firebug(firfox插件),然后把他里面所有的css,js全部下下来,再然后根据ecshop的模板把页面源码给卸了,然后就可以了。
ecshop被攻击了,后台全是问号。是怎么回事。后台的内容全是问号,
建站一段时间后总能听得到什么什么网站被挂马,什么网站被挂黑链。好像入侵挂马似乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。
一:挂马预防措施:
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!
二:挂马恢复措施:
1.修改帐号密码
不管是商业或不是,初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。
2.创建一个robots.txt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3.修改后台文件
第一步:修改后台里的验证文件的名称。
第二步:修改conn.asp,防止非法下载,也可对数据库加密后在修改conn.asp。
第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。
4.限制登陆后台IP
此方法是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯,安全第一嘛。
5.自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛,可能会向不明来意者传送对方想要的信息。
6.慎重选择网站程序
注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。
7.谨慎上传漏洞
据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找你的网站程序提供商。
8. cookie 保护
登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9.目录权限
请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10.自我测试
如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。
11.例行维护
a.定期备份数据。最好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。
b.定期更改数据库的名字及管理员帐密。
c.借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。
网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。
网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。
您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。
ecshop安全问题,怎么让ecshop不被黑客入侵?
1:常常换FTP帐户密码。把FTP端口修改掉
2:服务器安全加强。避免简单密码.以及数据库端口修改
3:服务器增加VPN登陆
4:修改后台路径
5:严格过滤表单录入,防止注入
6:设置好程序文件目录权限。防止恶意文件运行