齐博工具箱的下载地址如下:
http://down.qibosoft.com/tool.rar解压后,把tool.php放到网站根目录,然后用浏览器打开他,输入密码123456即可进入操作界面。
第一步,就是要查找所有.php中是否包含特征木马,一般木马最常用的函数是
eval(base64_decode(
eval(
你可以分别查找以上关键字,查出来后,然后跟新程序同样的文件对比,如果 新程序中不存在此文件的话,就把此木马删除掉。如果新程序中有这个文件的话,最直接的办法就是拿新程序中的文件替换该文件即可。
除了查找以上两个最常用的木马函数外,也可以分别再查找一下以下函数
error_reporting(
fopen(
copy(
$a($_POST[
$nx($ju(
这些也是木马比较常用到的。
值得注意的是,并不是所有查出来的都是木马,因为这些函数虽然是木马最常用的文件,但也是程序有时候要用到的函数。就像一把刀,在坏人手里就成了犯罪的工具一样。
第二步,如果你的程序或模板被批量注入了太多恶意代码的话,一个一个的改回来是很痛苦的事,这时就要用到该工具的第二项,批量替换。
批量替换中的最后一项,你留空即可,“被替换的内容:”如果留空的话,即代表清除文件中的旧内容,不新增加内容的意思。
第三步,工具箱的最后一项,你可以查找一下程序中是否包含asp文件,查出来的话,把他删除掉。也可以指定查找upload_files目录,查找该目录下是否有php或htm文件,查出来的话,也全删除他。
如果通过以上办法都没把握解决的话,就进后台备份数据,然后把PHP文件全部查找出来,全删除掉吧。然后新装一份最新的程序,再还原数据后,再把之前被删除php文件后的余下的文件替换回去即可。
一般来说,中毒表现有两种,一种是被新增加了php木马文件,一种是原程序php文件被恶意修改过。另外一种是.js .htm文件被插入了恶意脚本,如弹窗、跳转到别的非法网站去。最后一种.js .htm文件被插入了恶意脚本的话,只能用肉眼来识别,常用的脚本是 document.write(
此工具除了查杀木马之外,大家还可以在平时用他来批量查找文件,或者是批量替换文件。
最后提醒大家:如果你没有修改默认密码的话,处理完之后要马上删除该工具,所以大家最好是先改一下密码,以防止最后忘记删除该工具,当然还建议大家最好就重命名一下该文件,比如“tool123.php”之类的。