序言继此前曝光某知名电商团购系统暗藏PHP后门代码后,有使用开源商城系统的商家主动添加我微信,迫切担忧自身正在运营的系统存在同款安全隐患。据该商家反馈,他在使用一款标注“全开源,稳定版,免费商用,适合二开”的热门产品——「Gitee某开源商城稳定版源码」,恰巧与上次曝光后门木马的是同一家开发商。文章内不方便透露具体是哪家开发商,大家可自行对照版本排查自身系统。我们针对该源码开展深度安全分析,最终确认:该系统同样暗藏高危恶意代码,风险极高!此次后门伪装更隐蔽、利用链路更完整,远超普通木马特征,已上线运营该系统的商家,务必立即停止使用并全面清理排查,避免服务器被控制、数据泄露、资金被盗!一、核心高危发现:extend/cert 证书目录暗藏 2 个恶意 PHP 文件本次审计精准定位到root/extend/cert/目录下 2 个异常文件,该目录本应存放证书 / 配置文件,但这两个文件无任何合法证书特征,纯为恶意后门载体:root/extend/cert/b53df10b0729c7660b9b3c34c7f46beb.php该文件采用多层混淆 + 加密伪装,核心恶意行为:调用系统自带decrypt()函数,解密超长密文并赋值给与文件名同名的变量,符合免杀木马「恶意载荷藏变量」的典型特征;内置自定义 HTTP 下载函数(sdv
紧急预警:某开源商城「稳定版」暗藏进阶后门!已部署商家立即自查
发布时间:2026/5/26 17:02:50
序言继此前曝光某知名电商团购系统暗藏PHP后门代码后,有使用开源商城系统的商家主动添加我微信,迫切担忧自身正在运营的系统存在同款安全隐患。据该商家反馈,他在使用一款标注“全开源,稳定版,免费商用,适合二开”的热门产品——「Gitee某开源商城稳定版源码」,恰巧与上次曝光后门木马的是同一家开发商。文章内不方便透露具体是哪家开发商,大家可自行对照版本排查自身系统。我们针对该源码开展深度安全分析,最终确认:该系统同样暗藏高危恶意代码,风险极高!此次后门伪装更隐蔽、利用链路更完整,远超普通木马特征,已上线运营该系统的商家,务必立即停止使用并全面清理排查,避免服务器被控制、数据泄露、资金被盗!一、核心高危发现:extend/cert 证书目录暗藏 2 个恶意 PHP 文件本次审计精准定位到root/extend/cert/目录下 2 个异常文件,该目录本应存放证书 / 配置文件,但这两个文件无任何合法证书特征,纯为恶意后门载体:root/extend/cert/b53df10b0729c7660b9b3c34c7f46beb.php该文件采用多层混淆 + 加密伪装,核心恶意行为:调用系统自带decrypt()函数,解密超长密文并赋值给与文件名同名的变量,符合免杀木马「恶意载荷藏变量」的典型特征;内置自定义 HTTP 下载函数(sdv
:过河卒)
)
:测试如何提前在代码提交阶段发现 Bug?)
)
