利用正则快速查找与清理挂马
作者:jit 日期:2009-02-25
正则清马:(搜索或替换时选择 "使用正则表达式")
1. //支持各种变种形式,直接匹配7个以上%2A类似的字符串,或带有了双引号的情况,---可能有误差
<script\s+src\s*=\s*"?\s*http://(%([0-9]|[a-z]|[A-Z]){2}){7,}/?\s*"?\s*>\s*</script\s*>
2. //支持各种变种形式,匹配4个以上%2A类似,%2E%63%6E(.cn)结尾的字符串,或带有了双引号的情况---误差小
<script\s+src\s*=\s*"?\s*http://(%([0-9]|[a-z]|[A-Z]){2}){4,}%2[E|e]%[6|4]3%[6|4][E|e]/?\s*"?\s*>\s*</script\s*>
3. //查询<iframe注入形式,http://后面可以跟具体域名形式。
<iframe\s+src\s*=\s*"?\s*http://.*>\s*</iframe\s*>
如:<iframe\s+src\s*=\s*"?\s*http://www.jitweb.cn/.*>\s*</iframe\s*>
4. 超强搜索匹配:
<script\s+src\s*=\s*"?\s*http://.*>\s*</script\s*>
<iframe\s+src\s*=\s*"?\s*http://.*>\s*</iframe\s*>
1. //支持各种变种形式,直接匹配7个以上%2A类似的字符串,或带有了双引号的情况,---可能有误差
<script\s+src\s*=\s*"?\s*http://(%([0-9]|[a-z]|[A-Z]){2}){7,}/?\s*"?\s*>\s*</script\s*>
2. //支持各种变种形式,匹配4个以上%2A类似,%2E%63%6E(.cn)结尾的字符串,或带有了双引号的情况---误差小
<script\s+src\s*=\s*"?\s*http://(%([0-9]|[a-z]|[A-Z]){2}){4,}%2[E|e]%[6|4]3%[6|4][E|e]/?\s*"?\s*>\s*</script\s*>
3. //查询<iframe注入形式,http://后面可以跟具体域名形式。
<iframe\s+src\s*=\s*"?\s*http://.*>\s*</iframe\s*>
如:<iframe\s+src\s*=\s*"?\s*http://www.jitweb.cn/.*>\s*</iframe\s*>
4. 超强搜索匹配:
<script\s+src\s*=\s*"?\s*http://.*>\s*</script\s*>
<iframe\s+src\s*=\s*"?\s*http://.*>\s*</iframe\s*>
[本日志由 jit 于 2009-03-23 08:02 PM 编辑]
上一篇: 追mm之精华宝典
下一篇: 恢复被注入挂马的SQL数据库
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: 
相关日志:
评论: 0 | 引用: 0 | 查看次数: -
发表评论