使用EasySR(Search and Replace) V1.5清除服务器端网页木马!
第一遍:搜索 加密关键词
(?:(?:vb|java|j)script/.encode)
第二遍:搜索 引入图片木马
(?:</!-- ?#include file="(?:/w+/.)+(?=gif|jpe?g))
第三遍:搜索 已知木马关键词
(?:moexa|server ?u|限权升提|提升权限|端口扫描|描扫口端|
批量挂马|马挂量批|注册表|表册注|木马|马木|提权|权提)
第四遍:搜索 执行类可疑关键词
(?:eval[/( ]+|[^/.]execute[/( ]+|wscript|shell|runat=server)
第五遍:搜索 文件操作类可疑关键词
(?:filesystemobject|drive|getfolder|subfolders|createtextfile|
opentextfile|deletefile|stream|savetofile|getobject)
指定需要扫描的文件类型:
txt|html?|aspx?|php|jsp|cgi|cer|asa|cdx
因为站点制作时,页面上本来也有一些创建对象的应用,所以无法实现搜索替换,只能每次搜索出匹配的文件后,手动打开文件进行人为判定!
建议:站点制作过程中,所有创建对象函数写在一个文件中,所有需要用到的地方引用该文件。当有入侵时,扫描所有关键词,如非该函数文件,一律有问题!
BTW,图片木马是怎么制作的?
有木马文件a.asp,图片a.gif,如何让a.asp变成asp.gif并且图片asp.gif仍然可用呢?
进入dos窗口,键入:
copy a.gif /b + a.asp /a asp.gif
参数/b 是指定以二进制格式复制、合并文件;
参数/a 是指定以ascll格式复制、合并文件。
这里要注意文件的顺序。执行完后就会生成asp.gif了,并且该图片是可以正常察看的。
你可能会以下内容对感兴趣:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
