最新消息:

iScanner网页恶意代码批量删除工具使用教程

Linux软件介绍 大步 925浏览 0评论

最近因为不爽,wget某个网站,结果发现里面的html文件一大堆js广告代码,自己本地看起来很抓狂,总是会弹窗广告代码,所以找了个可以批量删除网页恶意代码的工具——iScanner。

iScanner

介绍:iScanner 是一款免费开源的工具,能够在自己的Unix/Linux服务器上,让我们发现检测和删除恶意代码及包含恶意代码的页面。这个工具是Ruby语言写的。

官网下载地址:ttp://www.ruby-lang.org/en/downloads/

下面是iScanner网页恶意代码批量删除工具使用教程

第一步:安装

首先要确保服务器上已经安装了Ruby

#ruby -v              //查看ruby的版本信息

如果服务器上没有安装,可以通过yum或者apt-get安装ruby(根据自己服务器系统选择对应的方法安装)

#yum  install ruby        //centos用yum安装

#apt-get install ruby    //ubantu用apt-get安装

iScanner不需要额外的库,且不需要安装,但是作者还是做了个安装和卸载脚本,让我们可以可以通过下面的命令安装和卸载 iScanner

# ./installer -i                 //这个命令是安装iScanner到默认目录'/etc/iscanner',但是我们可以改变和选择自己喜欢的安装目录,使用  ‘-d’  参数:
# ./installer -i -d /opt/iscanner    //将iscanner安装到  /opt/iscanner   目录下

卸载iscanner也很简单,命令如下:

# ./installer -u

第二步:使用参数详解

-R        用这个参数区扫描远程的网页或者网站。
# iscanner -R http://example.com

-F       用这个参数扫描指定的文件。
# iscanner -F /home/user/file.php

-f        用这个参数扫描指定的目录。
# iscanner -f /home/user

-e     这个参数允许我们扫描只包含指定的文件后缀名的文件,默认情况下,iScanner只扫描htm,html,php,js后缀名的文件,如果想扫描其它的特定的扩展名的文件,使用如下命令
# iscanner -f /home/user -e htm:html    //只扫描/home/user下的htm和html文件

-d     iScanner默认载入的是最新的恶意代码特征库,如果你想使用老版本或者修改版的恶意代码特征库,可以用下面的命令指定特征库:
# iscanner -f /home/user -d database.db

-M     用这个参数允许我们指定恶意代码,并且让iscanner自动产生正则表达式,扫描你指定的网站或网页(防止我们想要扫描指定的代码,比如js广告代码这些等。)
# iscanner -M /home/user/malware_code.txt -f /home/user
# iscanner -M /home/user/malware_code.txt -R http://example.com

-o     这个参数允许你将扫描的日志文件保存为特定的地方和特定的文件名,如果未指定这个参数,默认感染日志文件的格式为"infected-[TIME]-[DATE].log"。参数举例如下:

# iscanner -f /home/user -o user.log

-m      用这个参数,将扫描的日志文件发送到指定的邮箱中去。
# iscanner -f /home/user -m email@example.com

-c     用这个参数,可以删除受感染文件中的恶意代码,而不删除受感染的文件。当你用这个参数的时候,最好查看日志文件,以确保iscanner将会从哪些文件中删除恶意代码。
# iscanner -c infected.log

-b     这个参数可以让iscanner保在删除恶意代码之前备份受感染的文件,默认备份的文件名为"backup-[TIME]-[DATE]".
# iscanner -b -c infected.log

-r     这个参数可以让我们从备份的文件中恢复被删除的文件
# iscanner -r backup/

-a     这个参数可以让iscanner自动清除所有受感染的文件。这个参数可能会很危险,当你没有先扫描文件或你不知道会产生何种结果。
# iscanner -f /home/user -a

-D     这个参数可以让iscanner在调试模式下运行,这个参数在你遇到问题问题是后将会很有用。
# iscanner -f /home/user -D

-q     如果你不想看到任何iscanner的输出信息,就可以用这个命令让iscanner在安静模式下运行
# iscanner -f /home/user -q

-s     这个参数可以让我们将受感染的文件交给iscanner的开发者分析,以改进和升级恶意代码特征库
# iscanner -s /home/user/malicious_file.html

-U      这个参数可以用来升级iscanner和恶意代码特征库
# iscanner -U

-u      这个参数用来升级恶意代码特征库而不升级iscanner
# iscanner -u

-v      这个参数用来查询打印输出iscanner的版本和恶意代码特征库的版本号。
# iscanner -v

-h     这个参数可以查询help帮助信息。
# iscanner -h

数据库特征

- - 0.0
- (REGULAR EXPRESSION)
- Signature comment.
- <MU|LN>:<RE|LO>

* 第一行是特征的id   '0.0'.

*选项参数:
MU --> 多行正则表达式。
LN --> 一行正则表达式。
RE -->用正则表达式扫描远程的或者本地的文件。
LO -->用正则表达式只扫描本地文件。

工具开发者的一些提示信息和建议:

*你可以轻松的修改恶意代码特征库的正则表达式

*如果你的几个网扎都被入侵了,你可以添加特征到特征库让iscanner扫描所有被感染的文件

*你可以将iscanner放到crontab中定时扫描你的 文件,并将扫描结果发到你指定的邮件,多方便哈!

*你可以配置你的ftp服务器使得iscanner扫描所有上传的文件,并且如果有受感染的文件,则发送扫描记录到指定文件报警,通知管理员。

 

作者联系方式:如果你发现了bug或者像帮助改进iscanner,可以通过projects@isecur1ty.org,联系作者们。

iScanner  恶意代码  删除  工具 教程

 关键词 :  iScanner  恶意代码  删除  工具 教程

转载请注明:大步's Blog » iScanner网页恶意代码批量删除工具使用教程

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
SiteMap