中电云集是国内领先的云服务器、虚拟主机、服务器租用提供商




上一主题下一主题
«12»Pages: 1/2     Go
主题 : 指导大家如何使用“齐博工具箱”查杀中毒网站中的木马。

UID: 243423
级别: 齐博超管
发帖: 11216
威望: 11599 点
积分: 24979 个
铜板: 7360
精华风格度: 1 点
在线时间: 12672 小时
注册时间: 2010-10-01
最后登录: 2019-09-07
楼主  发表于: 2013-10-29 09:58

指导大家如何使用“齐博工具箱”查杀中毒网站中的木马。

管理提醒: 本帖被 齐博 执行置顶操作(2019-05-28)
齐博工具箱的下载地址如下:
http://down.qibosoft.com/tool.rar

解压后,把tool.php放到网站根目录,然后用浏览器打开他,输入密码123456即可进入操作界面。

第一步,就是要查找所有.php中是否包含特征木马,一般木马最常用的函数是
eval(base64_decode(
eval(
你可以分别查找以上关键字,查出来后,然后跟新程序同样的文件对比,如果 新程序中不存在此文件的话,就把此木马删除掉。如果新程序中有这个文件的话,最直接的办法就是拿新程序中的文件替换该文件即可。

除了查找以上两个最常用的木马函数外,也可以分别再查找一下以下函数
error_reporting(
fopen(
copy(
$a($_POST[
$nx($ju(
这些也是木马比较常用到的。

值得注意的是,并不是所有查出来的都是木马,因为这些函数虽然是木马最常用的文件,但也是程序有时候要用到的函数。就像一把刀,在坏人手里就成了犯罪的工具一样。

第二步,如果你的程序或模板被批量注入了太多恶意代码的话,一个一个的改回来是很痛苦的事,这时就要用到该工具的第二项,批量替换。
批量替换中的最后一项,你留空即可,“被替换的内容:”如果留空的话,即代表清除文件中的旧内容,不新增加内容的意思。


第三步,工具箱的最后一项,你可以查找一下程序中是否包含asp文件,查出来的话,把他删除掉。也可以指定查找upload_files目录,查找该目录下是否有php或htm文件,查出来的话,也全删除他。

如果通过以上办法都没把握解决的话,就进后台备份数据,然后把PHP文件全部查找出来,全删除掉吧。然后新装一份最新的程序,再还原数据后,再把之前被删除php文件后的余下的文件替换回去即可。

一般来说,中毒表现有两种,一种是被新增加了php木马文件,一种是原程序php文件被恶意修改过。另外一种是.js .htm文件被插入了恶意脚本,如弹窗、跳转到别的非法网站去。最后一种.js .htm文件被插入了恶意脚本的话,只能用肉眼来识别,常用的脚本是 document.write(


此工具除了查杀木马之外,大家还可以在平时用他来批量查找文件,或者是批量替换文件。

最后提醒大家:如果你没有修改默认密码的话,处理完之后要马上删除该工具,所以大家最好是先改一下密码,以防止最后忘记删除该工具,当然还建议大家最好就重命名一下该文件,比如“tool123.php”之类的。
UID: 102881
级别: 齐博大专生
发帖: 1337
威望: 498 点
积分: 261 个
铜板: 6
精华风格度: 0 点
在线时间: 2294 小时
注册时间: 2007-09-13
最后登录: 2019-09-20
沙发  发表于: 2013-10-29 10:03

官方看看这个bug http://bbs.qibosoft.com/read-forum-tid-420107.htm
[ 此帖被yuexi在2013-10-29 11:05 ]
本帖最近评分记录:
  • 积分:+1(倪志鹏) 粉尘加湿机www.fenchenj ..
  • 个性签名:亲亲女性网www.58lady.com
    UID: 122522
    级别: 齐博大专生
    发帖: 1093
    威望: 1194 点
    积分: 1073 个
    铜板: 15
    精华风格度: 0 点
    在线时间: 469 小时
    注册时间: 2008-05-08
    最后登录: 2015-09-05
    板凳  发表于: 2013-10-29 10:10

    这个之前不是有吗,怎么又重新翻新了
    *****************************************
    *       签名档欠费,点击续费!          *
    *****************************************

    UID: 243423
    级别: 齐博超管
    发帖: 11216
    威望: 11599 点
    积分: 24979 个
    铜板: 7360
    精华风格度: 1 点
    在线时间: 12672 小时
    注册时间: 2010-10-01
    最后登录: 2019-09-07
    3楼  发表于: 2013-10-29 10:15

    之前是发过一次,现在又优化了一下。主要是让更多新用户学会使用。
    个性签名:模版设计 二次开发

    UID: 143167
    级别: 齐博版主
    发帖: 2199
    威望: 2546 点
    积分: 278538 个
    铜板: 696
    精华风格度: 0 点
    在线时间: 7091 小时
    注册时间: 2008-12-08
    最后登录: 2019-03-28
    4楼  发表于: 2013-10-29 10:26

    不错 不错
    引用


    x1我们继续守护相伴直至永远



    个性签名:客户就是上帝

    UID: 249589
    级别: 齐博版主
    发帖: 11535
    威望: 15086 点
    积分: 56481794 个
    铜板: 1968
    精华风格度: 1 点
    在线时间: 5745 小时
    注册时间: 2011-04-25
    最后登录: 2019-08-24
    5楼  发表于: 2013-10-29 14:34

    引用
    →承接仿站、模板制作、整站建设、网站推广等网站业务 非诚心勿扰
    →承接SEO、网站修改、二次开发、数据采集等网络业务
    →QQ:191698811 工作室网站:对点工作室
    →齐博最活跃数据采集群:74771734 工作室淘宝店
    →提供各种API接口制作、对接等业务WWW.CQPS.NET
    →模板制作、网站修改、请选择版主不然有可能被骗 齐博视频教程1元
    个性签名:为齐博用户建站助力


    UID: 76033
    级别: 齐博版主
    发帖: 9823
    威望: 115864 点
    积分: 135076 个
    铜板: 0
    精华风格度: 3 点
    在线时间: 4708 小时
    注册时间: 2006-07-03
    最后登录: 2019-07-02
    6楼  发表于: 2013-10-29 16:48

    收藏了
    *****************************************
    *       签名档欠费,点击续费!          *
    *****************************************
    UID: 279525
    级别: 齐博初中生
    发帖: 215
    威望: 219 点
    积分: 1587 个
    铜板: 3
    精华风格度: 0 点
    在线时间: 233 小时
    注册时间: 2013-04-25
    最后登录: 2014-08-03
    7楼  发表于: 2013-10-29 20:03

        
    UID: 210184
    级别: 齐博初中生
    发帖: 238
    威望: 331 点
    积分: 396 个
    铜板: 3
    精华风格度: 0 点
    在线时间: 260 小时
    注册时间: 2010-03-01
    最后登录: 2019-07-09
    8楼  发表于: 2013-10-29 22:24

    网站再次被黑 数据库连接的文件被修改
    UID: 282182
    级别: 齐博新生
    发帖: 7
    威望: 7 点
    积分: 8 个
    铜板: 0
    精华风格度: 0 点
    在线时间: 48 小时
    注册时间: 2013-09-11
    最后登录: 2014-11-13
    9楼  发表于: 2013-10-30 00:55

    看看,支持一下喽
    个性签名:窝窝居
    UID: 104555
    级别: 齐博大专生
    发帖: 1202
    威望: 1332 点
    积分: 15 个
    铜板: 0
    精华风格度: 0 点
    在线时间: 2317 小时
    注册时间: 2007-10-03
    最后登录: 2018-06-26
    10楼  发表于: 2013-10-30 12:00

    *****************************************
    *       签名档欠费,点击续费!          *
    *****************************************

    UID: 243423
    级别: 齐博超管
    发帖: 11216
    威望: 11599 点
    积分: 24979 个
    铜板: 7360
    精华风格度: 1 点
    在线时间: 12672 小时
    注册时间: 2010-10-01
    最后登录: 2019-09-07
    11楼  发表于: 2013-10-31 15:36

    引用
    引用第8楼xufeng308于2013-10-29 22:24发表的  :
    网站再次被黑 数据库连接的文件被修改



    最干净的解决办法就是先备份数据,然后再用这个工具箱把PHP文件全找出来。全删除,然后重新一份最新的系统,再把所有文件放回去。再还原数据。
    个性签名:www.zuosj.com   
    UID: 149991
    级别: 齐博初中生
    发帖: 262
    威望: 308 点
    积分: 109 个
    铜板: 0
    精华风格度: 0 点
    在线时间: 165 小时
    注册时间: 2009-02-13
    最后登录: 2017-11-11
    12楼  发表于: 2013-10-31 21:40

    必须支持         
    *****************************************
    *       签名档欠费,点击续费!          *
    *****************************************
    个性签名:www.zuosj.com   
    UID: 149991
    级别: 齐博初中生
    发帖: 262
    威望: 308 点
    积分: 109 个
    铜板: 0
    精华风格度: 0 点
    在线时间: 165 小时
    注册时间: 2009-02-13
    最后登录: 2017-11-11
    13楼  发表于: 2013-10-31 21:40

    8.0什么时候出来?8.0什么时候出来?8.0什么时候出来?8.0什么时候出来?8.0什么时候出来?8.0什么时候出来?8.0什么时候出来?
    *****************************************
    *       签名档欠费,点击续费!          *
    *****************************************
    个性签名:http://mshlaw.cn
    UID: 111916
    级别: 齐博大专生
    发帖: 1520
    威望: 1168 点
    积分: 1739 个
    铜板: 12
    精华风格度: 0 点
    在线时间: 502 小时
    注册时间: 2007-12-14
    最后登录: 2019-02-07
    14楼  发表于: 2013-11-01 18:21

    学习了。
    *****************************************
    *       签名档欠费,点击续费!          *
    *****************************************
    个性签名:泪奔网_www.leiben.net
    UID: 148760
    级别: 齐博博士
    发帖: 7734
    威望: 7758 点
    积分: 10622 个
    铜板: 1
    精华风格度: 0 点
    在线时间: 1517 小时
    注册时间: 2009-02-03
    最后登录: 2019-09-22
    15楼  发表于: 2013-11-01 22:05

    齐博工具箱
    第一次用
    读后感 + 小学生作文大全 + 初中作文 + 与百度一起共成长!
    个性签名:泪奔网_www.leiben.net
    UID: 148760
    级别: 齐博博士
    发帖: 7734
    威望: 7758 点
    积分: 10622 个
    铜板: 1
    精华风格度: 0 点
    在线时间: 1517 小时
    注册时间: 2009-02-03
    最后登录: 2019-09-22
    16楼  发表于: 2013-11-01 22:06

    引用
    引用第11楼齐博于2013-10-31 15:36发表的 :



    最干净的解决办法就是先备份数据,然后再用这个工具箱把PHP文件全找出来。全删除,然后重新一份最新的系统,再把所有文件放回去。再还原数据。


    官方下载里的源码
    貌似只把V7系统添加了补丁
    V6还是原来的样子
    读后感 + 小学生作文大全 + 初中作文 + 与百度一起共成长!
    个性签名:没有对与错,只有成与败

    UID: 64782
    级别: 齐博版主
    发帖: 1405
    威望: 446 点
    积分: 21802 个
    铜板: 370
    精华风格度: 0 点
    在线时间: 2780 小时
    注册时间: 2005-08-26
    最后登录: 2019-09-07
    17楼  发表于: 2013-11-02 11:04

    不错
    *****************************************
    *       签名档欠费,点击续费!          *
    *****************************************
    个性签名:qiiboo.com ipingyuan.com

    UID: 96168
    级别: 齐博博士
    发帖: 7069
    威望: 2051 点
    积分: 989 个
    铜板: 238
    精华风格度: 0 点
    在线时间: 1000 小时
    注册时间: 2007-06-18
    最后登录: 2018-03-09
    18楼  发表于: 2013-11-02 23:07

    不错值得学习
    *****************************************
    *       签名档欠费,点击续费!          *
    *****************************************
    UID: 276073
    级别: 齐博初中生
    发帖: 395
    威望: 422 点
    积分: 1018 个
    铜板: 0
    精华风格度: 0 点
    在线时间: 66 小时
    注册时间: 2012-11-28
    最后登录: 2019-04-21
    19楼  发表于: 2013-11-03 19:01

    收藏了 不错不错
    *****************************************
    *       签名档欠费,点击续费!          *
    *****************************************
    «12»Pages: 1/2     Go
    齐博技术交流 » 官方动态
    以铜板换广告位一 以铜板换广告位二 以铜板换广告位三 以铜板换广告位四
    以铜板换广告位五 以铜板换广告位六 以铜板换广告位七 以铜板换广告位八
    以铜板换广告位九 以铜板换广告位十 以铜板换广告位十一 以铜板换广告位十二
    打造最专业的门户系统建站程序