前两天在乌云看到一个帖子,内容如下:


地址:http://zone.wooyun.org/index.php?do=view&id=55

标题:求助,某gov网站被挂黑链

作者:赵小布

时间:2012-04-13 14:42

内容:求助,某gov网站被挂黑链,老是清除不掉,过段时间就会出现关于六合彩的黑链脚本,网站应该没问题的,外网只有80端口。怎么回事???

相关回复:

xsser (白日放歌需纵酒) | 2012-04-13 15:16

你怎么清除的,应该是有webshell了吧?

 

紫梦芊 (null<>'') | 2012-04-13 16:01

首先看看上传权限 目录权限什么的 SQL注入什么的 弱口令什么的 webshell肯定有 安全漏洞肯定有

搞政府站的一般就这点小伎俩

数据库 FTP root 密码可能有

 

赵小布 | 2012-04-13 16:36

@xsser webshell找过了,代码也看过,估计不会有了,看了IIS日志,也没有可以的访问记录。

 

赵小布 | 2012-04-13 16:38

@紫梦芊 上传页面全部删掉了,web目录权限做了严格限制,部署了防篡改设备,任何脚本文件(asp,aspx,jsp,php等文件)都不能被上传或者修改。数据库和应用分开部署。

 

赵小布 | 2012-04-13 16:40

你妹的,刚打电话说黑链又出现了,要疯了。服务器又暂时不能换。问题没找到,估计换服务器也没用。

 

xsser (白日放歌需纵酒) | 2012-04-13 16:45

@赵小布 不可能吧,方便把地址给出来大家判断下么?

 

赵小布 | 2012-04-13 16:50

@xsser 信息都被拷走了,我这边没备份,本来想把东西发上来大伙研究下的,估计要周一了。

 

only_guest (www.guoke.ca) | 2012-04-13 16:52

@赵小布 我最近也在忙这个事情.说下你是哪个地区的吧?

 

赵小布 | 2012-04-13 16:54

@xsser www.***.gov.cn求渗透。

 

赵小布 | 2012-04-13 16:56

@only_guest 难道同一个????

 

xsser (白日放歌需纵酒) | 2012-04-13 17:17

@赵小布 给个黑链关键字?

 

核攻击 | 2012-04-13 19:00

请检查系统目录是否存在以下文件

c:\Windows\xlkfs.dat

c:\Windows\xlkfs.dll

c:\Windows\xlkfs.ini

c:\Windows\System32\drivers\xlkfs.sys

(PS:尼玛的,\被过滤了?)

 

赵小布 | 2012-04-14 09:57

@xsser 六合彩

 

赵小布 | 2012-04-14 09:58

@核攻击 多谢,周一去看下。

 

xsser (白日放歌需纵酒) | 2012-04-14 11:12

各位有结果了务必结贴哦

 

赵小布 | 2012-04-16 09:42

@xsser 啊哦,上周五晚上主页被改了。有兄弟友情测试的吗????

 

xsser (白日放歌需纵酒) | 2012-04-16 10:55

@赵小布 ......

 

赵小布 | 2012-04-16 14:17

@核攻击 兄弟,全被你说中了,加我企鹅1004745612,求教。

 

xsser (白日放歌需纵酒) | 2012-04-16 17:04

@赵小布 我草 !!!!

 

紫梦芊 (null<>'') | 2012-04-16 19:14

膜拜 @核攻击

我们这些只会玩脚本的各种羡慕嫉妒恨啊~

 

21#

imlonghao (博客寻友链 http://imlonghao.com/) | 2012-04-16 22:33

我发现了一个公开的流量系统。

22#

imlonghao (博客寻友链 http://imlonghao.com/) | 2012-04-16 22:35

safe3 一扫就出来了,建议屏蔽该目录。

23#

大肠 | 2012-04-18 12:54

@核攻击 老核, 我做的就是你以前做的。

24#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2012-04-18 13:13

各种隐藏 WebShell、创建、删除畸形目录、特殊文件名、黑帽SEO作弊

https://lcx.cc/post/2416/

结贴吧……

25#

x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么?) | 2012-04-18 13:38

前来围观,虽然是公开的秘密了,但是.......

26#

_Evil (我绝对不是数据流的马甲!我爱数据流帅哥!) | 2012-04-18 13:46

http://www.2cto.com/Article/201204/127000.html 核攻击大哥哥发现的是 "小木马吧"服务器中了驱动木马? 不死僵尸webshell清除希望有用

27#

xsser (十根阳具有长短!!) | 2012-04-18 13:52

@x0ers 我之前不知道呢 呵呵 学到了 多谢 @赵小布 和 @核攻击

28#

SinCoder (fuck sec) | 2012-04-18 23:38

看来帽子们还是太白 不够黑。。

29#

horseluke (微碌) | 2012-04-18 23:47

@核攻击 原来没想到病毒手段也可以这样用在服务器上...那看来服务器装个杀毒还是有点需要的?之前有人说过如果见到运维往服务器上装杀毒的,直接辞退呢...

30#

pangshenjie (whoami) | 2012-04-19 00:00

@核攻击 各种学习了。。。。。

31#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2012-04-19 01:14

windows...该...

32#

livers (如梦似幻) | 2012-04-24 21:58

冰山一角 哈 看当年 驱网精华帖http://115.com/file/c2pu8ueh#hide.rar

33#

g0t3n | 2013-03-20 23:22

@livers 仅vip才可下。。 发百度盘吧亲

34#

黑吊丝 (周哥,你好帅,就用你了!!!) | 2013-04-02 23:39

c:\Windows\xlkfs.ini 这个里面一看就明白了,吧软件卸载了,然后 重启下 就全部出来

35#

whirlwind (别人笑,不去想,我就为你而倔强.除了你,都一样,不能放,害怕丢失唯一的信仰.你在我永远到不了的地方!) | 2013-04-29 19:43

楼主GOV的。。

36#

马丁 (我快要饿死了!!!!) | 2013-11-06 23:24

去查水表啊

37#

Spongebob | 2013-11-07 10:24

@核攻击 感谢科普贴,学习了

38#

一只猿 (头像是小嶋阳菜,不用感谢) | 2013-11-07 10:25

核总的文章不多,受益匪浅

…… 省略 ……


以上回复没有一个正确的,都是不知所云,乱回复一通,晕……

可见各位白帽子对黑产知之甚少啊……

其实这个问题,经常有朋友问我,我也都帮大家解决了……

但是现在这些现象越来越严重,而且手法毒辣、隐蔽、变态,清除了又来了,删掉了又恢复了,最后直接找不到文件了,但是访问网站还在,急的各大管理员、站长抓耳挠腮、不知所措。

所以我觉得,很有必要写个关于这个的专题文章,彻底剖析原理,揭露真相,也许能帮到各大站长、管理员。

\(^o^)/

正文开始……


本文将全面讲述各种隐藏 WebShell、创建、删除畸形目录、特殊文件名的方法,应该是网上最全、最详细的了……

另外,再大概说一下各种黑帽SEO作弊方法,以帮助广大站长、管理员彻底清理这些文件……

说明,以下操作均以“Windows Server 2003 SP2”做示范,其他系统请自行以此类推。

说到隐藏 WebShell 的方法,从最初的包含图片(#include file="a.jpg")、设置文件隐藏属性(Fso 组件可以做到,完全支持),再到较早的畸形目录、特殊文件名(两年前开始流行),或者两者结合使用(例如:c:\a.\aux.txt),直到现在的驱动级隐藏(大约一年半前开始流行),这些小黑客们也算是有一点进步吧……

先扫盲,普及一下相关知识:


畸形目录:

目录名中存在一个或多个 . (点、英文句号)

特殊文件名:

其实是系统设备名,这是 Windows 系统保留的文件名,普通方法无法访问,主要有:lpt,aux,com1-9,prn,nul,con,例如:lpt.txt、com1.txt

驱动级隐藏:

由于这些小黑客们都没有能力编写驱动,所以主要是借助一些第三方软件进行隐藏,例如:Easy File Locker 1.3,如今很流行,底下会详细讲。

其他方法:

循环锁定文件,一两年前曾经很火爆,首先弄一个非木马脚本(不会被杀),只有简单的文件读写功能,然后在一个24小时运行的服务器上,使用程序每隔一秒请求一次该脚本,该脚本每次执行时会检查目标文件(某个挂马或者黑帽SEO的文件)的大小以及属性是否正确,如果不是,那么就删除,然后重写,在设置属性,从而达到“文件锁定”的目的,该方法一般和畸形目录+特殊文件名配合使用。

另类方法:

Aspx 可以打开文件,但不关闭句柄,在此期间该文件就无法删除或修改,有效期直到下次IIS或服务器重启。

如果无法提权,但是支持低权限运行程序,那就可以写一个简单的程序传上去,低权限锁定文件,直到该进程结束或服务器重启,锁定方法可以参考上边的,例如循环监视锁定,或者文件句柄……


以上这些隐藏方法,如今已经被大量应用到黑帽 Seo、挂马、关键词优化等非法活动中了,各大站长、管理员深受其害……

畸形目录、特殊文件名的创建、删除方法都很简单:


畸形目录:

只需要记住将一个点换成两个点就行了,例如:

创建一个“a..”目录:md c:\a..\,实际显示为:c:\a.\,普通方法无法访问,以此类推,也可以为多个点……

删除的方法也一样:rd /s /q c:\a..\

特殊文件名:

稍微复杂点,普通的路径访问是无法访问的,需要用这种方式的路径:\\.\c:\aux.txt 或 \\?\c:\aux.txt 或 \\计算机名\c:\aux.txt(网上邻居形式的路径),例如:

创建一个文件:echo hello>\\.\c:\aux.txt

读取该文件内容:type \\.\c:\aux.txt

删除该文件:del /f /q /a \\.\c:\com1.txt

很简单,是吧,好的,现在我们挑战更复杂一点的……

畸形目录 + 特殊文件名:

创建:

md c:\a..\

echo hello>\\.\c:\a..\aux.txt

读取:

type \\.\c:\a..\aux.txt

删除的方法已经不能用刚才的了,需要这样:

rd /s /q \\.\c:\a..\

(还有些其他的特殊路径,可以参考:带点文件夹的创建与删除【技巧】名字带“\”文件夹的创建与删除


很好,现在,你已经学会了如何处理这种目录、文件了,以上的操作,Asp 使用 Fso 组件完全可以做到,完全支持这种路径,也就是说普通的 WebShell 权限就可以完成了……

\(^o^)/

至于“其他方法”和“另类方法”的清理就比较简单了,例如:

其他方法:

找出可疑脚本,然后删除即可,可以搜索关键词,例如 Asp 中的:FSO、FileSystemObject、OpenTextFile、CreateTextFile、CopyFile、DeleteFile、.Write 等……

其实最简单的方法是查看IIS日志,看那个文件被频繁大量请求,然后找出该文件,然后你懂的……

此方法经常配合畸形目录、特殊文件名、包含图片等结合使用,使用刚才讲过的方法清理即可。

另类方法:

比较简单了,找出可疑进程,最明显的是用户名是IIS的账户,结束掉,然后删除该文件。

最后重启 IIS 即可,各种锁定文件句柄的方法统统会失效,或者干脆重启服务器。

再提一下,一般,一个有价值的网站,他们不会轻易放弃的,会留下一堆后门,各种文件中插入一句话,保留原来的漏洞或者人为的制造一个漏洞,即使所有后门都被清理,依旧可以拿下!

而且还会定期检查,有人还使用软件24小时监控挂马的页面,每秒一次,发现不存在某个关键词就报警,然后攻击者就上去恢复,这也是为什么删了又会出现,删不干净的原因……

如果已经遭到提权的话,系统可能已经中了一堆木马,各种“粘滞键后门”、“放大键后门”、“Win+U后门”、“隐藏、克隆账户”、“触发式后门”等……

所以,你事后需要要全面检查下系统了,不要忘记检查杀毒软件的白名单,你懂的……

进行这些操作,我本人推荐使用手工杀毒工具“PowerTool v4.2”、“XueTr v0.45”,在文章的最后我会写上官方下载地址。

使用这两个软件要注意下,它们使用的驱动兼容性很差,有比较大的几率会造成系统蓝屏,所以如果您的机器不支持在线重启的话,您可要掂量好再用,希望他们以后的版本能改进下……


说到驱动隐藏,最典型的现象就是系统盘及系统目录中存在以下文件:

c:\Program Files\Easy File Locker
c:\Program Files\Easy File Locker\FileLocker.exe
c:\Program Files\Easy File Locker\uninst.exe
c:\Documents and Settings\Administrator\桌面\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Uninstall.lnk

↑ 以上文件十有八九已被攻击者删除(管理员想破脑袋,都不知道怎嘛回事),但以下文件是绝对存在的! ↓

c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys

该软件名字叫:Easy File Locker,一般用 Easy File Locker 1.3,或着是其它版本,你可以搜一下,网上一堆……

功能很简单,简单的驱动隐藏文件(简单的 C、C++ 就可以实现,网上大量源码),支持单个文件或者整个目录。

支持设置访问权限,属性为:可读/可访问(Accessible)、可写(Writable)、可删除(Deletable)、可见(Visible)

一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝……

那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。

这也是为什么各位管理员头疼的地方了,愣是找不到文件,但是直接访问网站却是可以执行的……

╮(╯_╰)╭

并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了……

可以做到无进程、无启动项,无任何异常,因为只加载了一个驱动……

这也是很多管理员想破头都不知道怎吗回事的原因……

说完他的原理、特性,我们再讲讲清除它的方法(不管有没有密码):

首先设置系统“显示隐藏文件”,步骤如下:

1、随意打开一个文件夹、磁盘

2、在文件浏览窗口,依次点击:工具(顶部菜单) --> 文件夹选项 --> 查看(顶部选项卡)

3、依次勾选或点选,设置:隐藏受保护的操作系统文件(不勾选)、显示所有文件和文件夹(选中)、隐藏已知文件类型的扩展名(不勾选),然后点击确定按钮。

提示,如果无法正常选中,例如复选框为灰色、不可操作、勾选无效等现象,说明对应的注册表项已被破坏,可以使用以下注册表代码进行修复:

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 

"CheckedValue"=dword:00000001

将以上代码保存为:Fix_Hide_File.Reg(修复隐藏文件),然后双击导入注册表即可。

然后以文本方式可以打开:C:\WINDOWS\xlkfs.ini,这是“Easy File Locker”的配置文件,不出所料的话,你可以看到它的配置信息……

(呵呵,也许会有朋友会问,如果他们连这个文件都隐藏了的话怎么办?很遗憾,该软件不支持隐藏自身的配置文件……)

内容例如:

[Common]
Count=4
[0]
Path=C:\a.txt
Type=0
Access=14
[1]
Path=C:\b.txt
Type=0
Access=14
[2]
Path=C:\c.txt
Type=0
Access=14
[3]
Path=C:\d.txt
Type=0
Access=14

文件、文件夹的路径、设置的权限等一览无余……

注意!!这里记得要把这个文件复制一份单独留着,等会儿清理被隐藏文件的时候要用到!!切记!!!!

然后删除上边所列的所有文件,尤其是系统目录中的那四个文件,如果无法删除可以考虑使用第三方工具强删,然后重启系统。

系统启动后会提示:至少有一个服务或驱动程序无法加载或错误。

这是由于我们删除了那个驱动文件,但是驱动加载项还在,所以会提示加载错误,不理即可。

进入系统后,你会发现隐藏的文件全都回来了,那么,就简单多了,对照你先前备份的那个配置文件,挨个清理即可……

(如果要彻底清除密码,只需要重装该软件,此时不会提示有密码,再卸载即可……)

最后,再检查下杀毒软件白名单中的内容(参考上边的内容进行全面检查,上边说过不再重复),你懂的……

最后再简单的说说黑帽SEO作弊的方法,方便广大站长清理对应的文件。

一般都是劫持百度蜘蛛,很早之前,是在你网站单独放一个脚本文件,该脚本会远程调用攻击者的服务器数据,然后动态显示各种页面,也有少数是把数据库放在你网站,或者干脆生成静态的页面。

然后在你网站的首页(或其他高权重网站)放置一个指向该文件的链接(隐藏的),然后下次蜘蛛抓取的时候,自然会爬向该文件,从而抓取一堆攻击者的预先防止好的数据(通常是生成的垃圾文章堆砌关键词),如果你网站权重够高的话,那么这些关键词会排到较好的位置,从而给攻击者带来巨大的流量,以及很好的经济效益……

(权重:网站的权威性和重要性,相当于谷歌的PR值,是百度对网站评价的一个打分,网站权重越高,那么排名越高、收录越快、越多。)

简单地说,就是在你的网站中生成了一个“小网站”,蜘蛛抓取后,自然会认为是你网站的内容,会按照你网站的权重给于相应的排名。

当有人从百度或者其他搜索引擎点进来的时候,那些脚本会判断来路“Referer: http://www.baidu.com/”,或者直接跳转到攻击者的总页面,从而进行跳转或挂马操作。

当给很多个高权重网站重复以上操作以后,带来的流量就相当可观了,相当于养了一个高权重站群!

而一般政府(gov)、教育(edu)等机构的网站权重都比较高,这也是为什么各路人马都在喊:高价收购政府站、教育站。

这种做法,大约是两三年前的做法,后来做的太疯狂了,百度进行了改版,修改了抓取算法。

导致结果是,他们的数据依然是抓取的,但是会在半个月或者一个月后才放出来快照,然后才给于排名,这大大的影响了黑帽SEO行业,于是新的做法出现了:全局劫持!

什么叫全局劫持?由于百度短时间内不会收录突然冒出来的新链接,所以小黑客们就想到了新的招数:利用网站原有页面进行作弊……

So,邪恶的东西来了:Global.asa、Global.asax,实际上这个方法在很多年前挂马的时候就应用到了。

这两个文件是 Asp 和 Aspx 独有的特殊文件,作用是在每次执行一个动态脚本的时候,都会先加载该脚本,然后再执行目标脚本。

(该文件还可以进行简单的文件锁定,因为每次都先执行嘛,所以可以每次都判断一次某个文件状态,然后进行某些操作,和上边的循环监视锁定的效果是一样的。)

(实际上不一定非要写这俩文件,例如:conn.asp、conn.php 等被大量脚本包含的通用文件都可以,效果是一样的,而且比这个隐蔽多了……)

关于这个文件具体的细节就不说了,不然又是个长篇大论,想了解的可以去搜搜,或者参考:http://baike.baidu.com/view/673542.htm

所以效果就来了,既然执行每个脚本的时候都会先执行该文件,小黑客们就想到了劫持蜘蛛的方法,在 Global.asa 中写判断用户系统信息的代码(User-Agent: Mozilla/5.0),然后判断是否是蜘蛛、来路是什么等信息……

如果是蜘蛛来访,那么就会输出SEO作弊用的关键词,否则就显示正常页面,如果你网站更新频率很高的话,那么几乎是刚挂上关键词就收录了,就来量了,很快。

如果用户来路信息为搜索引擎,那么就跳转到攻击者的页面,否则显示正常页面。

最后造成的影响就是,例如百度:site:lcx.cc,所有原有页面快照都变成了攻击者的关键词(最典型的就是首页了,因为首页快照更新周期短、频率高,而且权重高),然后你点进去就会跳转到另外一个页面(攻击者挂马的页面)……

如果你不是从百度等搜索引擎点进去的,而是直接访问该网站,那是不会有任何异常现象的,所以该方法比较隐蔽……

前几个月新闻媒体疯狂报道的“某某政府网站快照是色情网站、六合彩”等新闻,就是因为这样……

而该方法有个很严重的后果,刚开始SEO作弊带来的访问量很大,然后快照越来越少,最后被K光了,对被挂的网站影响很大,基本是毁了……

如今的SEO作弊方法略有改进,但万变不离其中,高权重网站是必不可少的,修改你网站文件、劫持百度蜘蛛是必不可少的,这里只是略提一下,实际上要复杂得多……

这篇文章基本上算是写完了,各位站长、管理员知道了原理,就可以对症下药了……

最后提供各种提到的软件下载:

(以下地址均为官方网站,可放心下载!)

XueTr v0.45:http://www.xuetr.com/http://t.qq.com/linxer

PowerTool v4.2:http://hi.baidu.com/ithurricane/bloghttp://t.qq.com/powertool

Easy File Locker 1.3:http://www.xoslab.com/


PS:

不要问我为什么很了解这些东西,具体原因你懂的,我很多年前就涉足此行业了,也算是行业中的领头羊了。

当时SEO作弊、黑帽SEO很火爆也很暴力,很疯狂也很赚钱,那个时候做的人基本都赚疯了,一天几万那只能说你做得太小了,当然,当时的技术现在已经全民化了,随便一个小黑客都能做了,不赚钱了,也不好做了……

以上这些文件隐藏、锁定以及市面上所有流行的SEO作弊方法,全部都是那个时候的人们“研发”的……

想当年,各种游戏箱子、全套游戏马统统挂,各种彩票、赌博站、六合彩,互相暴力袭击、各种黑吃黑、最后逼的百度修改抓取算法,百度新出的“该站可能已被入侵”这个提示,就是因为这个行业……

就拿黑吃黑来说,直接入侵对方挂好的站,强行换成自己的文件,然后暴力锁定,把对手踢出去,连续几个通宵不睡觉,抢站,都是很正常的……

为什么抢站?这还用问???流量就是钱啊,挂几个小时就是几千,疯狂的抢,人都疯了,你要一天24小时盯着自己站看被抢没……

一些地区甚至还出现了职业抢站团队,自己不做站,专抢别人挂好的站,把很多没实力的人都“抢死了”,太疯狂了……

碰到拿不下的站,就疯狂DDOS,往死里打!

是的,你猜的没错,著名的电磁风暴便是本人在那个是时期开发的,人挡杀人,佛挡杀佛,神挡屠神!铁蹄踏过,一片焦土!谁敢反抗,灭谁!

还记得当年闲暇时间,没事无聊跑去攻击大型网络游戏、对战平台的机房、服务器,造成全区掉线,以此取乐,挥金如土,当时人都疯了……

这个软件彻底改变了互联网的命运,刷新了DDOS的历史,彻底改变了DDOS的传统模式,掀起了一场DDOS技术革命,以此原型所滋生的软件不计其数,一直火爆至今……

另外一些没有攻击能力的人,就会使用各种手段查找该网站管理员的联系方式,使尽浑身解数联系并举报给该管理员,管理员就会上服务器清理掉,不让我赚钱,你也别想赚钱!!!

太疯狂、太变态、太暴力了,着实印证了那句话,走在世界最前端的人,不是天才,就是疯子!……

如今,我已经不接触黑产了,于是我把它写了出来,这里只是简略的提了一下,实际上比这疯狂的多,按我现在的标准来说的话,这些方法实在是太大众化了,太低级了,早已过时了……

留言评论(旧系统):

后现代小弟 @ 2012-04-18 12:17:45

核总是想到当年的自己吧!!曾经核总点点滴滴。。。呵呵!往事回首

本站回复:

呵呵,一个行业的缩影,每次回首往事,都有一丝奇特的感觉……

【匿名者】 @ 2012-04-18 13:34:43

写出来就没得玩了,唉.钱啊,钱啊!

本站回复:

公开的秘密了,写不写都一样……

noth @ 2012-04-18 23:20:08

中国官方发行的货币叫? RMB 我错了吗?

本站回复:

Yo........ 不是拼音啊,人民币呀,亲~

雨中风铃 @ 2012-04-19 09:30:55

请教一下博主,现在黑帽seo的“虚拟链接”是怎么实现的,可以虚拟出hao123、百度贴吧的上万链接,显然不是文中提到的搜索引擎劫持,这个现象在seowhy、admin5等很多站长社区都讨论过,但百度一直没有给出回答,还让删除相关帖子,但目前确实有人在利用这个漏洞:http://dwz.cn/1HoS4

本站回复:

很遗憾,这个不能公开讨论……

lxghost @ 2012-04-19 20:05:07

感谢核大~学习了

本站回复:

↖(^o^)↗

【匿名者】 @ 2012-05-29 21:47:35

yxrs.gov.cn,这种是怎么实现的,太牛逼了 http://www.aizhan.com/baidu/yxrs.gov.cn/ http://www.baidu.com/s?wd=site%3Ayxrs.gov.cn&rsv_spt=1&issp=1&rsv_bp=0&ie=utf-8&tn=baiduhome_pg&n=2&inputT=1307

本站回复:

你认为我会告诉你方法吗?

【匿名者】 @ 2012-06-02 14:47:55

我要吐槽!!!

本站回复:

So?

elliott @ 2012-11-09 10:58:50

大哥,shopex php 被入侵,也是被劫持了,被挂马了。php劫持手法有隐藏文件吗。

本站回复:

不知所云……

纯洁刺客 @ 2013-04-14 02:53:50

每次从乌云调到核攻击的文章,总是感觉遇到了百科哈,受益匪浅!

本站回复:

lol...

邪少 @ 2013-05-17 02:21:21

我的服务器被黑。。 于是挂上自己的shell www.xxx.com/qz/1.html 但是在shell中无法找到1.html。请问在shell情况下如今删掉1.html

本站回复:

具体要看情况,你提供信息量比较少,无法判断。

佚名 @ 2013-08-06 18:42:39

服务器被黑,文件夹被隐藏。用PowerTool v4.2和XueTr v0.45 也没能看见文件夹,但是文件夹是存在的。 百度了各种方法,还是看不到。求教啊,急死人了!如何能删除它!

本站回复:

额,请给出具体症状,否则谁也无法帮你。

佚名 @ 2013-11-13 03:41:22

(呵呵,也许会有朋友会问,如果他们连这个文件都隐藏了的话怎么办?很遗憾,该软件不支持隐藏自身的配置文件……) 我试了一下它是可以支持隐藏自身的配置文件!!!!!!!!!!!!!!!!!

本站回复:

嗯,但其驱动文件和dll是无法隐藏自身的……

佚名 @ 2013-11-13 17:27:20

我是说下面这4个文件可以隐藏自身!! c:\WINDOWS\xlkfs.dat c:\WINDOWS\xlkfs.dll c:\WINDOWS\xlkfs.ini c:\WINDOWS\system32\drivers\xlkfs.sys

本站回复:

从原理上来讲,不能隐藏自身(否则Windows启动时无法加载,自相矛盾),你是如何隐藏的。

佚名 @ 2013-11-13 18:07:28

隐藏它也是有缺陷的

本站回复:

╮(╯_╰)╭

0x01 @ 2013-11-13 18:09:37

你为何这么叼0.0

本站回复:

╮(╯_╰)╭

佚名 @ 2013-11-13 18:28:38

刚刚换了个权限居然可以修复重启不可以加载的问题!!

本站回复:

重启加载前非隐藏,加载后可以隐藏自身…… ╮(╯_╰)╭

甘蓉蓉 @ 2014-01-06 01:26:57

你好 “各种隐藏WebShell、创建、删除畸形目录、特殊文件名的方法” 看见一篇你写的文章, “另类方法: Aspx 可以打开文件,但不关闭句柄,在此期间该文件就无法删除或修改, 有效期直到下次IIS或服务器重启。 如果无法提权,但是支持低权限运行程序,那就可以写一个简单的程序传上去, 低权限锁定文件,直到该进程结束或服务器重启,锁定方法可以参考上边的, 例如循环监视锁定,或者文件句柄……” 能请你写一个这样的脚本给我锁文件吗,我愿意花点钱。 非常感谢

本站回复:

加Q详聊:root@lcx.cc

slzx @ 2014-05-07 19:52:27

站长,能否把楼下的代码贴下,学习学习。最近弄seo,技术不够啊!

本站回复:

如果需要锁定脚本,请加QQ详聊:624118310

佚名 @ 2015-08-01 03:06:08

核总Easy File Locker服务器被装了这个软件,按照你以前说的方法无效,重新安装了还是有密码,求解决方法!

本站回复:

这个你得自己研究解决了。