Linux服務(wù)器上怎么用iScanner刪除網(wǎng)頁惡意代碼?這篇文章主要介紹了Linux服務(wù)器上用iScanner刪除網(wǎng)頁惡意代碼的方法,iScanner為Ruby編寫,所以服務(wù)器上要首先安裝Ruby解釋器,需要的朋友可以參考下

　　第一步：安裝

　　首先要確保服務(wù)器上已經(jīng)安裝了Ruby

　　代碼如下:

　　#ruby -v //查看ruby的版本信息

　　如果服務(wù)器上沒有安裝，可以通過yum或者apt-get安裝ruby(根據(jù)自己服務(wù)器系統(tǒng)選擇對應(yīng)的方法安裝)

　　代碼如下:

　　#yum install ruby //centos用yum安裝

#apt-get install ruby //ubantu用apt-get安裝

　　iScanner不需要額外的庫，且不需要安裝，但是作者還是做了個安裝和卸載腳本，讓我們可以可以通過下面的命令安裝和卸載 iScanner

　　代碼如下:

　　# ./installer -i //這個命令是安裝iScanner到默認(rèn)目錄/etc/iscanner，但是我們可以改變和選擇自己喜歡的安裝目錄，使用 ‘-d’ 參數(shù)：

　　# ./installer -i -d /opt/iscanner //將iscanner安裝到 /opt/iscanner 目錄下

　　卸載iscanner也很簡單，命令如下：

　　代碼如下:

　　# ./installer -u

　　第二步：使用參數(shù)詳解

　　-R 用這個參數(shù)區(qū)掃描遠(yuǎn)程的網(wǎng)頁或者網(wǎng)站。

　　# iscanner -R http://example.com

　　-F 用這個參數(shù)掃描指定的文件。

　　# iscanner -F /home/user/file.php

　　-f 用這個參數(shù)掃描指定的目錄。

　　# iscanner -f /home/user

　　-e 這個參數(shù)允許我們掃描只包含指定的文件后綴名的文件，默認(rèn)情況下，iScanner只掃描htm，html，php，js后綴名的文件，如果想掃描其它的特定的擴展名的文件，使用如下命令

　　# iscanner -f /home/user -e htm:html //只掃描/home/user下的htm和html文件

　　-d iScanner默認(rèn)載入的是最新的惡意代碼特征庫，如果你想使用老版本或者修改版的惡意代碼特征庫，可以用下面的命令指定特征庫：

　　# iscanner -f /home/user -d database.db

　　-M 用這個參數(shù)允許我們指定惡意代碼，并且讓iscanner自動產(chǎn)生正則表達式，掃描你指定的網(wǎng)站或網(wǎng)頁(防止我們想要掃描指定的代碼，比如js廣告代碼這些等。)

　　# iscanner -M /home/user/malware_code.txt -f /home/user

　　# iscanner -M /home/user/malware_code.txt -R http://example.com

　　-o 這個參數(shù)允許你將掃描的日志文件保存為特定的地方和特定的文件名，如果未指定這個參數(shù)，默認(rèn)感染日志文件的格式為"infected-[TIME]-[DATE].log"。參數(shù)舉例如下：

　　# iscanner -f /home/user -o user.log

　　-m 用這個參數(shù)，將掃描的日志文件發(fā)送到指定的郵箱中去。

　　# iscanner -f /home/user -m email@example.com

　　-c 用這個參數(shù)，可以刪除受感染文件中的惡意代碼，而不刪除受感染的文件。當(dāng)你用這個參數(shù)的時候，最好查看日志文件，以確保iscanner將會從哪些文件中刪除惡意代碼。

　　# iscanner -c infected.log

　　-b 這個參數(shù)可以讓iscanner保在刪除惡意代碼之前備份受感染的文件，默認(rèn)備份的文件名為"backup-[TIME]-[DATE]".

　　# iscanner -b -c infected.log

　　-r 這個參數(shù)可以讓我們從備份的文件中恢復(fù)被刪除的文件

　　# iscanner -r backup/

　　-a 這個參數(shù)可以讓iscanner自動清除所有受感染的文件。這個參數(shù)可能會很危險，當(dāng)你沒有先掃描文件或你不知道會產(chǎn)生何種結(jié)果。

　　# iscanner -f /home/user -a

　　-D 這個參數(shù)可以讓iscanner在調(diào)試模式下運行，這個參數(shù)在你遇到問題問題是后將會很有用。

　　# iscanner -f /home/user -D

　　-q 如果你不想看到任何iscanner的輸出信息，就可以用這個命令讓iscanner在安靜模式下運行

　　# iscanner -f /home/user -q

　　-s 這個參數(shù)可以讓我們將受感染的文件交給iscanner的開發(fā)者分析，以改進和升級惡意代碼特征庫

　　# iscanner -s /home/user/malicious_file.html

　　-U 這個參數(shù)可以用來升級iscanner和惡意代碼特征庫

　　# iscanner -U

　　-u 這個參數(shù)用來升級惡意代碼特征庫而不升級iscanner

　　# iscanner -u

　　-v 這個參數(shù)用來查詢打印輸出iscanner的版本和惡意代碼特征庫的版本號。

　　# iscanner -v

　　-h 這個參數(shù)可以查詢help幫助信息。

　　# iscanner -h

　　數(shù)據(jù)庫特征

　　代碼如下:

　　- - 0.0

　　- (REGULAR EXPRESSION)

　　- Signature comment.

　　-

　　* 第一行是特征的id 0.0.

　　*選項參數(shù)：

　　MU --> 多行正則表達式。

　　LN --> 一行正則表達式。

　　RE -->用正則表達式掃描遠(yuǎn)程的或者本地的文件。

　　LO -->用正則表達式只掃描本地文件。

　　工具開發(fā)者的一些提示信息和建議:

　　*你可以輕松的修改惡意代碼特征庫的正則表達式

　　*如果你的幾個網(wǎng)扎都被入侵了，你可以添加特征到特征庫讓iscanner掃描所有被感染的文件

　　*你可以將iscanner放到crontab中定時掃描你的 文件，并將掃描結(jié)果發(fā)到你指定的郵件，多方便哈!

　　*你可以配置你的ftp服務(wù)器使得iscanner掃描所有上傳的文件，并且如果有受感染的文件，則發(fā)送掃描記錄到指定文件報警，通知管理員。