V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
MarkZuckerberg
V2EX  ›  问与答

服务器被黑,所有文件被加入跳转代码。如何能批量修改?

  •  
  •   MarkZuckerberg · 2019-11-24 11:59:24 +08:00 · 3121 次点击
    这是一个创建于 1862 天前的主题,其中的信息可能已经有所发展或是发生改变。

    11 月份又有成千上万的 wordpress 被黑,Google 上也可以搜到最近的新闻

    被黑的站基本上都跳转到 buyittraffic 或 trasnaltemyrecords 这俩带尾巴的网站

    服务器中凡是带有 “index” 前缀的文件,均被修改并加入了 <script> 跳转代码。</p> <p>所有带 “.js” 后缀也被修改,加入了自动跳转代码。</p> <p>由于数量多(每个站大约 100 个文件左右),不可能手动一一修改。请问如何能快速的将某些文件的第一行删掉?或者自动识别出跳转代码,删掉?</p> </script>

    20 条回复    2019-11-25 09:54:18 +08:00
    Fufh
        1
    Fufh  
       2019-11-24 12:12:52 +08:00 via Android
    不懂,楼下有什么解决方法
    712e1959
        2
    712e1959  
       2019-11-24 12:14:34 +08:00 via Android
    sed
    sinkdwt
        3
    sinkdwt  
       2019-11-24 12:17:14 +08:00 via iPhone
    你现在知道为什么 PHP 是最好的语言了吧?
    vacker
        4
    vacker  
       2019-11-24 12:24:21 +08:00 via Android
    所以我用 git,随时恢复,防范于未然
    Raynard
        5
    Raynard  
       2019-11-24 12:25:28 +08:00
    notpad++

    批量替换
    opengps
        6
    opengps  
       2019-11-24 12:26:29 +08:00 via Android
    查找所有 window. href
    hzwjz
        7
    hzwjz  
       2019-11-24 12:33:40 +08:00
    sed -i "s/old_pat/new_pat/g" <file>
    MarkZuckerberg
        9
    MarkZuckerberg  
    OP
       2019-11-24 13:45:13 +08:00
    @Raynard 如果要替换的内容为多行的话,如何操作?我看了一下 js 文件,基本都是在文件开头添加了 7 行。是不是可以使用正则表达式代替回车?
    QUIOA
        10
    QUIOA  
       2019-11-24 13:47:51 +08:00 via Android
    他们是怎么黑掉的,什么漏洞
    MarkZuckerberg
        11
    MarkZuckerberg  
    OP
       2019-11-24 14:05:45 +08:00
    @QUIOA 11 月的 adminer 漏洞注入的
    zappos
        12
    zappos  
       2019-11-24 14:06:55 +08:00 via Android
    @MarkZuckerberg 多行就把 . 换成 [\s\S],或者把 . 匹配新行给勾上。

    基于 js 的编辑器可能没有 dotall 模式,这个模式在今年的 es 标准才被引入。
    manami
        13
    manami  
       2019-11-24 14:12:35 +08:00 via Android
    如果一开始用了 git 就方便了
    msg7086
        14
    msg7086  
       2019-11-24 16:39:51 +08:00
    有一点好就是我们被黑的时候链接给的是 http 的,然后我们是有强制 https 策略的,所以就算被注入了,其实浏览器也是不会去加载脚本的。
    你可以把代码扔进 console 里,看看 pl 地址是什么,如果也是 http 的话其实不用太担心→_→
    Rheinmetal
        15
    Rheinmetal  
       2019-11-24 17:22:42 +08:00
    docker 也容易恢复 有没有备份?
    没有的话一行一行看吧
    chibupang
        16
    chibupang  
       2019-11-24 20:22:01 +08:00 via Android
    七楼正解
    feiyang221
        17
    feiyang221  
       2019-11-25 08:56:57 +08:00
    代码丢编辑器里正则表达式修改,后面可以全站爬虫检索一下有没有漏网之鱼,我是这么做的
    feiyang221
        18
    feiyang221  
       2019-11-25 09:04:08 +08:00
    爬虫工具用的 ScreamingFlog,搞 SEO 的
    Lunatic1
        19
    Lunatic1  
       2019-11-25 09:53:57 +08:00
    所以这就是为什么我用 hexo 的原因了,就算被黑重新回退不就行了
    Lunatic1
        20
    Lunatic1  
       2019-11-25 09:54:18 +08:00
    建议重新部署吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2767 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 11:52 · PVG 19:52 · LAX 03:52 · JFK 06:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.