Category Archives: oscommerce

osCommerce中file_manager.php有被利用來上傳php shell程式，竄改網頁內容、取得資料庫權限進一步入侵主機。 詳細文章可參考 http://www.qurizhao.com/Article/HTML/20100901133958.html http://forums.oscommerce.com/topic/344651-new-hack-in-town-beware/ http://forums.oscommerce.com/topic/109629-site-hacked-due-to-oscommerce/ 處置方式 1.請立即變更後台admin目錄的名稱變更admin目錄請參考以下文章 http://www.blog.webdsn.net/archives/16 2.立即刪除admin目錄中file_manager.php

oscommerce程式已相當老舊，入侵問題嚴重，建議所有客戶做以下的改善，增加您網站的安全性，同時以增加主機的安全性 建議:將您的OSC購物車後台目錄名稱改掉，將原本的admin資夾變更成難猜的資料夾名稱 步驟: 1.使用FTP或CPANEL的檔案管理功能將OSC的admin目錄改成難猜的名稱比如xllkitl(名稱請自行命名) 2.將admin資料夾中include資料夾中configure.php裡的底下兩行 define(‘DIR_WS_ADMIN’, ‘/admin/’); // absolute path required define(‘DIR_FS_ADMIN’, ‘/home/xxxxxx/public_html/admin/’); // absolute pate requir 這兩行中admin部份變更成您命名的資料夾名稱。 以上的改善基本上防止掉很多因為OSC購物車後台的漏洞造成的入侵，但是若是前台的漏洞基本上還是沒辦法防止

近來主機端攔截到利用banner_manager.php的漏洞的入侵行為，入侵方式是利用banner_manager.php的漏洞上傳php shell到images目錄，輕則上傳垃圾郵寄件程式重則進一步入侵資料庫。這問題再OSC中存在已久，您也可以參考以下文章 http://osvdb.org/show/osvdb/29795 解決辦法: 1.刪除admin資料夾中的banner_manager.php，但是這樣你的banner管理就無法使用 2.變更admin目錄的名稱，這是解決此問題最有效的方法 你可參考此篇文章 http://www.blog.webdsn.net/archives/16