批量清除挂马网站的恶意脚本代码
相信不少有网站的朋友都会遇到过sql 注入 都是利用程序上的逻辑错误
被注入的网站有这么几种状况:
1,页面被修改在关键的首页 、数据库连接页面 、头页面 、 脚页面添加恶意代码 打开页面就会下载木马到浏览者的机器上 如果你的机器有 系统漏洞或者第三方软件的漏洞, 比如微软的系统漏洞 暴风影音的漏洞 就会感染病毒 用户那些敏感邮箱 、银行、管理账号就有被盗的危险,清理起来比较简单找到恶意代码 用批量处理软件直接批量替换成空格即可 ,要是你觉得不放心那就在开始替换之前看看网页是什么时候被修改的 记住时间然后批量替换 ,替换之后再按照刚才记下的那个时间搜索一下 看看有没有被漏下的页面。
"文件内容批量查找工具" 这个工具是从网上搜来的 具体看附件
具体使用方法很简单 :
在关键词位置 输入恶意脚本连接的地址
类型 可以是html 、asp 、aspx 、js、css 等
查找目录 直接点击右边的按钮 找到对应的目录就行 然后选择包含子目录 如果包含的子目录比较多 查找的时间也比较长 耐心一下 都会给你找出来的
选择 ”全选“ 然后替换 成空格就可以了
2,前台面找不到脚本打开页面杀软报有病毒 ,挂马这把恶意脚本注入到数据库的关键字段中 一般是产品 、信息等关键字段,前台页面调用数据库字段恶意脚本就会运行, 因为恶意脚本在数据库中清理起来比较麻烦 ,如果挂马者处理不好 access 数据库直接就不能用了 ms sql 如果数据量比较大 处理起来也比较费时费力 通过同事 要了一个存储过程 只要知道而已脚本的也能批量替换 具体存储过程如下
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=REPLACE
(cast(['+@C+'] as varchar(8000)),''<. src=http://e6t.3322.org/c.js></.>'','''')')
FETCH NEXT FROM Table_Cursor INTO @T,@C END
CLOSE Table_Cursor DEALLOCATE Table_Cursor
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=REPLACE
(cast(['+@C+'] as varchar(8000)),''<. src=http://e6t.3322.org/c.js></.>'','''')')
FETCH NEXT FROM Table_Cursor INTO @T,@C END
CLOSE Table_Cursor DEALLOCATE Table_Cursor
具体使用方法 打开被挂马的数据库的查询分析器 拷贝上面的代码替换红色的那部分 然后执行替换就可以了
附件下载:
G-KEY.rar
<< 上一篇
下一篇 >>
网友留言(0 条)