Windows Server上被植入一堆的
<iframe src="xxx" width="1" height="1" style="visibility:hidden;position:absolute"></iframe>
高度與寬度都為1,防毒軟體掃不出這類型的可疑程式,請問有辦法可以把整個資料夾含有<iframe> 的tag都刪除嗎?謝謝
已邀請的邦友 {{ invite_list.length }}/5
在 *nix 的方式很簡單,用 sed 即可馬上解決;
在 windows 上可安裝 Sed for Windows 。
裝好後加入 C:\Program Files\GnuWin32\bin\ 為路徑,
在 CMD 就可直接下 sed 的指令。
不加路徑的話,就需把該程式的完整路徑鍵出:
<pre class="c" name="code">"C:\Program Files\GnuWin32\bin\sed.exe" -e "/<iframe src=\"xxx\"/ d" test.php > test.php.bak
move test.php.bak test.php
這樣子就會把 test.php 內容去掉所指定形式的該行,重導輸入到 test.php.bak,再把 test.php.bak 蓋過原來的 test.php。
所以只要配合 windows 中的 batch 的語法,把同目錄的 html, php 檔名讀入,與這 sed 指令結合,就可以很快速刪掉所 match 內容的該行。
有關 sed 的使用,可用google查一下「sed 教學」。
讚,看起來sed+ batch是不錯的方法,謝謝回應
檔案會被整批修改,表示網站已經被植入某些自動化程式,要好好查一下。
同意....
畢竟....攻擊者也不會這麼閒....去手動inser這些字串...
首先請確定是否html或是php檔被修改了,必須『檢查原始檔』,逐一找iframe字串才能知道;如果找不到,代表是被注入資料庫的。
根據處理過的經驗,真的就像其他網友說的,攻擊者不會那麼閒,一個一個網頁去修改,一定是把字串寫入資料庫。
首先謝謝各位的回應:
一開始我也是想到裡面已經有程式在執行掛馬的程式,無奈用了三四種防毒、掃木馬程式都無法找到,我的上司叫我先用手動清除,等處理完再想辦法(個人是覺得這是愚公移山),所以才會來IT幫請大家幫忙,
嗯,有可能script 已經被寫入資料庫了,難怪掃不到原始程式,謝謝各位提醒
回應 simon88:
謝謝您的回應,我們有逐一找過每個html跟php,可以證明是被修改過的,我們存有部份原始檔的copy,對照之後是有被修改過的,之前iframe的高寬度還是 0的話,那防毒軟體還掃的到,現在高寬度變1,目前就得人工去找~冏
一般這種都是被發現在資料庫的資料內容裡面,
很少是直接改html或是php檔,這樣子太費事了
也可以這樣做, 個人認為雖不聰明但簡單有效
用windows的搜尋找*.php *.htm ...
搜尋到後用文書軟體一次全開 (推薦用UltraEdit:全選後按右鍵以Ultraedit開啟, 其他的文書軟體可能會當掉)
接著取代全部開啟的檔案, 儲存全部檔案, 關閉全部檔案
iThome鐵人賽
看影片追技術