警报独立商城恐遭洗劫
安全维护
漏洞出处:ECShop商城系统
漏洞危害:暴露管理员账号和密码
影响版本:2.6~2.7.2
阅读难度:★★★★
主流独立商城,都是用ECShop商城系统建立的,最近该商城系统爆出高危漏洞,黑客利用该漏洞可以闯入商城内部,窜改商城的物品、骗取商户的钱财、挂马危害访问商城的用户……
漏洞暴露管理员信息
ECShop是针对个人和中小企业的独立商城建站系统,由于建站快捷、成本较低,大多数独立商城都用它建站,在百度中以“ECShop”为关键字进行搜索,可以找到400多万条搜索结果,可见该系统是非常有影响力的。
ECShop最新的2.7.2版推出后,就受到黑客极大的关注,近段时间就爆出3个漏洞,其中有一个漏洞非常严重,该漏洞可以导致管理员账号和密码被黑客看到。利用管理员账号和密码,黑客就可以成功控制商城,进行一系列的牟利行为,例如窜改商品的数量进行贩卖等,此外黑客也可以上传木马攻击购物者的电脑,盗取他们电脑中的网游、QQ等账号和密码。
为什么ECShop会出现可以暴露管理员账号和密码的严重漏洞呢?答案很简单,因为程序员的疏忽,没有对checkorder页面中的SQL变量进行严格过滤,黑客构造一句特殊的代码,就能直接读取存放在网站数据库中的管理员账号和密码。
我们可以这样来理解该漏洞,checkorder页面好比一个牧场,周围有一圈栅栏,由于栅栏是木头做的,盗窃者可以不费吹灰之力就翻过栅栏进入牧场。如果牧场考虑周到,栅栏上铺设了电网,盗窃者就不可能翻过栅栏了。理解了漏洞原理,下面我们来看黑客是如何攻击ECShop商城的。
商城是怎么沦陷的
被锁定为攻击目标
首先,黑客在百度或谷歌中以“Powered by ECShop v2.6”为关键字进行搜索(也可以是2.7、2.7.2等版本),寻找符合攻击条件的ECShop商城网站,他们通过比较挑选人气较高的ECShop商城网站作为攻击目标。需要注意的是,越小的网站安全防护越弱,成功率相对就越高。
管理员账号和密码被破解
锁定目标后,黑客会在checkorder.php后输入特定代码,代码下载地址为http://go.icpcw.com/g/hky.htm。
输入后回车,黑客看到类似图1
的界面,则说明漏洞被利用成功了。在返回的信息中,网站管理员的账号和密码赫然在目,管理员账号为wenzushun,密码为21218cca77804d2ba1922c33e0151105。
密码是经过MD5加密的,黑客需要通过破解还原密码真面目。他们会登录http://www.xmd5.net,输入21218cca778
04d2ba1922c33e0151105,点击“MD5加密或解密”按钮(图2)
,很快密码原文就被破解了。需要注意的是,在线破解网站不是所有MD5加密的密文都可以破解,如果密文比较生僻网站没有收录,黑客就需要自己调用MD5暴力破解软件来进行破解,这就需要耗费很长的时间。
如果没有出现管理员账号和密码,黑客又会怎么办呢?这就意味着该漏洞已经打上了补丁或者网站的安全防护较高,过滤了某些注入攻击代码,这个时候黑客一般会放弃该网站,寻找下一个容易“下口”的目标。
网站被操纵
既然管理员账号和密码都已拿到手,接下来黑客就可以轻松登录网站的后台(图3)。
揪出网站后台的页面,然后输入管理员账号和密码进入后台,现在黑客可以窜改商家收款的银行账号,诱使买家将钱打入黑客的银行账号中,可以窜改商品的数量再卖出牟取暴利。
此外,黑客还可以在网站挂马。“系统设置”中的“Flash播放器管理”处,可以上传东东,自然就可以上传木马了。黑客将PHP木马或者ASP木马上传后,不通过管理员账号就可以控制网站,可以避免被管理员察觉。在网站的首页中插入挂马代码,当用户浏览商城页面的时候,就会激活网页木马,网页木马会入侵并控制用户的电脑。
防范方案
该漏洞已经有补丁了,可以通过打补丁的方式堵上漏洞。不过,最近该商城系统漏洞频出,希望相关网站管理员多多留意相关的安全公告,及时打上补丁,避免造成不必要的损失。
此外,不妨将管理员密码设置得复杂一些、生僻一些,这样会增加破解的难度,迫使黑客自动放弃。对普通网民而言,一定要做好上网安全防护,例如安装金山网盾、360安全卫士、锐甲、瑞星卡卡上网安全助手等可以拦截网页木马的安全辅助工具。