网站下的所有html、htm文件被写入一堆内容,可以通过正则判断把这些黑内容一次替换掉吗?
asher · 2013-04-21 19:27:34 +08:00 · 4430 次点击这是一个创建于 4232 天前的主题,其中的信息可能已经有所发展或是发生改变。
用grep查了下,受影响的文件有369个。
可以通过find或者sed把这些黑内容给清除掉吗?
黑内容如下:
<table style="margin-top: 20px;" align="center" width="968" border="0" cellpadding="0" cellspacing="0">
<tbody><tr>
<td width="450"><style type="text/css">
#weblink1{width:100px;height:20px;line-height:20px;main-left:0px;main-bottom:10px;overflow:hidden;position:absolute;top:600px;left:0px;}
#weblink1 a{display:block;font-size:12px;line-height:20px;text-decoration:none;font-family:Arial;cursor: default;}
</style>
<div id="weblink1"><a href="/">.</a><a href="/">.</a>
…… (此处为一行又一行的链接)
</div>
提问一:想请问下这些内容是通过什么方式写入的?
提问二:能通过正则判断把这些黑内容一次替换掉吗?
提问三:是因为账号被泄露,还是因为程序有漏洞呢?
谢谢.
可以通过find或者sed把这些黑内容给清除掉吗?
黑内容如下:
<table style="margin-top: 20px;" align="center" width="968" border="0" cellpadding="0" cellspacing="0">
<tbody><tr>
<td width="450"><style type="text/css">
#weblink1{width:100px;height:20px;line-height:20px;main-left:0px;main-bottom:10px;overflow:hidden;position:absolute;top:600px;left:0px;}
#weblink1 a{display:block;font-size:12px;line-height:20px;text-decoration:none;font-family:Arial;cursor: default;}
</style>
<div id="weblink1"><a href="/">.</a><a href="/">.</a>
…… (此处为一行又一行的链接)
</div>
提问一:想请问下这些内容是通过什么方式写入的?
提问二:能通过正则判断把这些黑内容一次替换掉吗?
提问三:是因为账号被泄露,还是因为程序有漏洞呢?
谢谢.
第 1 条附言 · 2013-04-21 23:15:38 +08:00
在@laoyu 的帮助下解决了,非常感谢。
 |
1
laoyu 2013-04-21 19:38:40 +08:00  1
第一:基本可以判断是用webshell批量挂的黑链
第二:能 第三:不一定帐号被泄露但肯定程序有漏洞,最好把账户密码改掉,然后查找把漏洞补上,如果不是什么大站80%是注入引起的,你就说下你用的什么程序,再分析! |
|
2
laoyu 2013-04-21 19:44:26 +08:00
补充一下
如果是开源或者公开的程序,说一下是什么程序,我帮你分析下漏洞原因。 光清除黑链也没什么用,可能webshell还在,或者一句好木马还在。 先查木马吧,全站查找类似如下: 如果是PHP: <?php @eval($_POST['pass']);?> 如果是ASP: <%eval request("pass")%> |
|
4
laoyu 2013-04-21 19:58:54 +08:00 1
这个还需要具体分析 wp被黑几率很小,除非你服务器上还有其他的站旁注过去的
我现在怀疑LZ就是这么个问题 而且怀疑是他的ECSHOP程序,booko?这个站? |
|
5
laoyu 2013-04-21 20:06:38 +08:00
@asher
我瞎猜一下LZ的网站,http://www.ks-book.com 这个,和上面的那个,还有个就不贴了。 用的ECSHOP 这个漏洞就太多了,两个管理员 用户名asher 密码:lin_80***6 用户名:lingc 密码:asher****51 |
|
7
laoyu 2013-04-21 20:13:31 +08:00 1
@asher 你承认就好了,即使你什么都没说,还是能查到你的一些信息,另外ECSHOP漏洞太多了
5L的内容也不算敏感。你给我个联系方式我帮助你解决下就好了。 |
 |
9
workaholic 2013-04-21 20:55:43 +08:00
有工具能解决,批量删除黑链,其实就是遍历目录和正则文件内容
|
 |
11
Tiny 2013-04-21 23:26:00 +08:00
这个猜的好牛逼。。
|
 |
12
iloveyou 2013-04-22 08:03:26 +08:00
这就是传说中的实时黑吗?
|
 |
13
taogogo 2013-04-22 10:25:34 +08:00
|
 |
14
sobigfish 2013-04-22 10:35:25 +08:00
|
 |
15
why 2013-04-22 12:32:55 +08:00
搜索 #weblink1 a{display:block;font-size:12px;
再看lz的会员主页 |
Select Language