首选当我们发现网站被黑客通过漏洞注入了大量的信息时,一定要第一时间与技术部门沟通,并希望技术在删除这些垃圾信息之前找出URL的生成规则,并进行处理。可能你不了解为什么要找出规则,赵彦刚下面详细介绍一下。
首先,当技术知道网站被注入垃圾信息后,第一想到的就是删除,那么例如网站被注入了10万的垃圾信息,就会有10万的URL。其中,短时间生成这么多信息,肯定是程序自动化实现的,不可能是人工手动搞定的。既然是程序实现的就一定会有一定的规则可循。常见的规则有三种:第一种是数字值的例如:www.a.com/sql/1.html其中的1.html会通过程序自动加1,可能变成www.a.com/sql/10000.html或许更多的值,这取决于黑客设置的最大值是多少而定;还有可能是动态的例如:www.a.com/s?sql=1其中的1可能也会变成10000甚至更大的值,同样取决于黑客设置的最大值。第二种是动态随机的形式,静态的URL可能会是www.a.com/sql/abdkew/这其中二级目录的字母是随机生成的,没有规律,动态的也一样www.a.com/s?sql=sbdkew,这两类是最不好处理的,因为这是随机生成的链接,没有规则,不过我们也是有办法获取到这些链接的,下面会分享其解决办法。再看第三种,字母循环的,像www.a.com/sql/aaa/直到www.a.com/zzz/这种形式批量产生的链接,说下这种形式的大概原理。这其中有3个字母分别从a开始,到z进1。例如aaa下一个就是aab然后aac等到了aaz的时候向前进一变成aba,然后再abb、abc到abz向前进一变成aca,这种形式,其规律是可以找到的。
三种常见的,我不知道你是否已经都明白了其规则。再说下找到了其规则如何进行处理。
我们都知道,这些URL我们都获取到后,技术估计已经快删除了,但是我们要像各搜索引擎提交死链接。并希望搜索引擎及时处理这些死链接。你可能会问,这链接那么多,难道要自己写吗?不是的,同样是找技术按照规则利用程序自动化的生成。但第二种随机产生的,就无法让技术帮忙实现了。我们只能靠自己获取了,这时候我们要利用大名鼎鼎的日至分析工具“光年日志分析工具”对日志进行URL拆分处理。下面是具体的操作流程:
1、打开光年日志分析工具,选择“拆分工具”,界面如下:
上面说的添加,是指要添加我们需要分析的日志文件,点击添加选择指定的日志文件即可,然后点击下一步。会弹出需要我们添加“拆分条件”的规则。如下图:
上图中的“字段”,我直接列出了下拉框,然后选择“URL”。是指拆分规则按照URL进行拆分。选中后,下面的“操作”会只有一个选择,默认就可以了。而第三个自定义值需要我们写上这个字段的规则。例如我被注入的URL是这样的/zhannei/sql/737.html(正常的URL是/zhannei/737.html)其中多了一个sql。那么我就可以根据sql这个自定义值进行拆分,如图:
点击确定之后,会出现如下字段:
再次,点击上图中的下一步,会让你设置日志的保存名称以及保存路径,这个我就不说了,直接点击下一步就会开始进行分析了,分析完成之后就会把之前的一个iis日志文件拆分成两个,一个是包含你设置的规则的所有日志信息,另外一个是被排除掉的日志信息。再把这个文件的内容通过技术根据规则去提取URL即可,这就不多说了,直接找技术说需求,自然他就会帮你实现了,很简单的一个程序。
最后你需要把这些所有的文件搞成一个xml文件,里面的url条数大于50000条时就按照小于50000条为一个文件这样保存,并上传到网站根目录,通过各个搜索引擎的站长工具提交,就坐等搜索引擎处理吧!
这个可能一些刚刚从业的同仁理解起来比较困难,建议你实际的操作一下,如果中途遇到问题,可以给我在下面留言,我看到后会回复你。这问题很多人以前或者今后都有可能会遇到,建议自己掌握下,不至于遇到后才临阵磨枪,也许来不及了!