iT邦幫忙

0

Server 中有成千上萬個*.html *.php 等檔案,遭植入不明 tag請問該如何批次清除?

Windows Server上被植入一堆的
<iframe src="xxx" width="1" height="1" style="visibility:hidden;position:absolute"></iframe>
高度與寬度都為1,防毒軟體掃不出這類型的可疑程式,請問有辦法可以把整個資料夾含有<iframe> 的tag都刪除嗎?謝謝

26
逮丸逮丸
iT邦大師 1 級 ‧ 2009-09-29 12:58:25
最佳解答

在 *nix 的方式很簡單,用 sed 即可馬上解決;
在 windows 上可安裝 Sed for Windows
裝好後加入 C:\Program Files\GnuWin32\bin\ 為路徑,
在 CMD 就可直接下 sed 的指令。
不加路徑的話,就需把該程式的完整路徑鍵出:

&lt;pre class="c" name="code">"C:\Program Files\GnuWin32\bin\sed.exe" -e "/&lt;iframe src=\"xxx\"/ d" test.php > test.php.bak
move test.php.bak test.php

這樣子就會把 test.php 內容去掉所指定形式的該行,重導輸入到 test.php.bak,再把 test.php.bak 蓋過原來的 test.php。
所以只要配合 windows 中的 batch 的語法,把同目錄的 html, php 檔名讀入,與這 sed 指令結合,就可以很快速刪掉所 match 內容的該行。
有關 sed 的使用,可用google查一下「sed 教學」。

看更多先前的回應...收起先前的回應...
joe64 iT邦新手 4 級 ‧ 2009-09-29 13:55:15 檢舉

讚,看起來sed+ batch是不錯的方法,謝謝回應

James iT邦大師 7 級 ‧ 2009-09-29 14:26:54 檢舉

檔案會被整批修改,表示網站已經被植入某些自動化程式,要好好查一下。

tibandyli iT邦新手 2 級 ‧ 2009-09-29 14:58:23 檢舉

同意....
畢竟....攻擊者也不會這麼閒....去手動inser這些字串...

simon88 iT邦研究生 3 級 ‧ 2009-09-29 15:06:07 檢舉

首先請確定是否html或是php檔被修改了,必須『檢查原始檔』,逐一找iframe字串才能知道;如果找不到,代表是被注入資料庫的。
根據處理過的經驗,真的就像其他網友說的,攻擊者不會那麼閒,一個一個網頁去修改,一定是把字串寫入資料庫。

joe64 iT邦新手 4 級 ‧ 2009-09-29 15:51:39 檢舉

首先謝謝各位的回應:

一開始我也是想到裡面已經有程式在執行掛馬的程式,無奈用了三四種防毒、掃木馬程式都無法找到,我的上司叫我先用手動清除,等處理完再想辦法(個人是覺得這是愚公移山),所以才會來IT幫請大家幫忙,

嗯,有可能script 已經被寫入資料庫了,難怪掃不到原始程式,謝謝各位提醒

joe64 iT邦新手 4 級 ‧ 2009-09-29 15:59:12 檢舉

回應 simon88:
謝謝您的回應,我們有逐一找過每個html跟php,可以證明是被修改過的,我們存有部份原始檔的copy,對照之後是有被修改過的,之前iframe的高寬度還是 0的話,那防毒軟體還掃的到,現在高寬度變1,目前就得人工去找~冏

8
simon88
iT邦研究生 3 級 ‧ 2009-09-29 12:52:48

一般這種都是被發現在資料庫的資料內容裡面,
很少是直接改html或是php檔,這樣子太費事了

joe64 iT邦新手 4 級 ‧ 2009-09-29 13:50:35 檢舉

可是這是Web Server呀,難道Web Server上*.html以及*.php檔都要放在資料庫?

simon88 iT邦研究生 3 級 ‧ 2009-09-29 15:07:55 檢舉

.php是跟資料庫撈資料的呀。

8
shadowy
iT邦新手 5 級 ‧ 2009-09-30 17:39:49

也可以這樣做, 個人認為雖不聰明但簡單有效
用windows的搜尋找*.php *.htm ...
搜尋到後用文書軟體一次全開 (推薦用UltraEdit:全選後按右鍵以Ultraedit開啟, 其他的文書軟體可能會當掉)
接著取代全部開啟的檔案, 儲存全部檔案, 關閉全部檔案

joe64 iT邦新手 4 級 ‧ 2009-10-01 10:07:43 檢舉

呵呵,謝謝,敝人之前就是這麼做,還想過要做巨集等,都無效果,因為每次都要這樣刪,真的蠻花時間的

joe64 iT邦新手 4 級 ‧ 2009-10-01 10:57:07 檢舉

後來我用notepad++不用開始全部的檔案,只要取代目錄裡面的字串就可以了^^

我要發表回答

立即登入回答