这个后门挺可怕的。我的前一个站点网站方访问突然不正常了。开始以为是DNS问题,排除了。后来以为是域名问题,排除了。最后搞得怀疑是不是空间商问题,也排除了。后来才想到里面有个后台会推送东西过来,让我想起来有后门。 初步观察后门涉及以下几个文件 文件路径/admin/templates/index.htm
文件路径/admin/templates/menu.htm -->
1、删除【云服务中心】 删除/admin/cloud.php 删除/admin/templates/menu.htm中以下代码 Ajax.call('cloud.php?is_ajax=1>act=menu_api','', start_menu_api, 'GET', 'JSON'); 删除/admin/templates/start.htm中以下代码 Ajax.call('cloud.php?is_ajax=1>act=cloud_remind','', cloud_api, 'GET', 'JSON'); function cloud_close(id) { Ajax.call('cloud.php?is_ajax=1>act=close_remind>remind_id='+id,'', cloud_api, 'GET', 'JSON'); } 删除/languages/zh_cn/admin/cloud.php 2、删除【数据库管理】-【转换数据】 删除/admin/convert.php 删除/admin/templates/convert_main.htm 删除/languages/zh_cn/convert目录及目录下的所有文件 删除/languages/zh_cn/admin/convert.php /admin/includes/inc_menu.php中删除以下代码 $modules['13_backup']['convert'] = 'convert.php?act=main'; /admin/includes/inc_priv.php中删除以下代码 $purview['convert'] = 'convert'; /languages/zh_cn/admin/priv_action.php中删除以下代码 $_LANG['convert'] = '转换数据'; 3、删除【系统设置】-【授权证书】 删除/admin/license.php 删除admin/templates/license.htm 删除/admin/includes/inc_menu.php中以下代码 $modules['11_system']['shop_authorized'] = 'license.php?act=list_edit'; 删除/languages/zh_cn/admin/priv_action.php中以下代码 $_LANG['shop_authorized'] = '授权证书'; 4、删除后台右上角【帮助】和【关于ECSHOP】 删除/admin/templates/top.htm中以下代码
|
|
来自: qianghuiyong > 《ecshop》