各种隐藏 WebShell、创建、删除畸形目录、特殊文件名、黑帽SEO作弊

地址：http://zone.wooyun.org/index.php?do=view&id=55

标题：求助，某gov网站被挂黑链

作者：赵小布

时间：2012-04-13 14:42

内容：求助，某gov网站被挂黑链，老是清除不掉，过段时间就会出现关于六合彩的黑链脚本，网站应该没问题的，外网只有80端口。怎么回事？？？

相关回复：

xsser (白日放歌需纵酒) | 2012-04-13 15:16

你怎么清除的，应该是有webshell了吧？

 

紫梦芊 (null<>'') | 2012-04-13 16:01

首先看看上传权限 目录权限什么的 SQL注入什么的 弱口令什么的 webshell肯定有 安全漏洞肯定有

搞政府站的一般就这点小伎俩

数据库 FTP root 密码可能有

 

赵小布 | 2012-04-13 16:36

@xsser webshell找过了，代码也看过，估计不会有了，看了IIS日志，也没有可以的访问记录。

 

赵小布 | 2012-04-13 16:38

@紫梦芊 上传页面全部删掉了，web目录权限做了严格限制，部署了防篡改设备，任何脚本文件（asp，aspx，jsp，php等文件）都不能被上传或者修改。数据库和应用分开部署。

 

赵小布 | 2012-04-13 16:40

你妹的，刚打电话说黑链又出现了，要疯了。服务器又暂时不能换。问题没找到，估计换服务器也没用。

 

xsser (白日放歌需纵酒) | 2012-04-13 16:45

@赵小布 不可能吧，方便把地址给出来大家判断下么？

 

赵小布 | 2012-04-13 16:50

@xsser 信息都被拷走了，我这边没备份，本来想把东西发上来大伙研究下的，估计要周一了。

 

only_guest (www.guoke.ca) | 2012-04-13 16:52

@赵小布 我最近也在忙这个事情.说下你是哪个地区的吧?

 

赵小布 | 2012-04-13 16:54

@xsser www.***.gov.cn求渗透。

 

赵小布 | 2012-04-13 16:56

@only_guest 难道同一个？？？？

 

xsser (白日放歌需纵酒) | 2012-04-13 17:17

@赵小布 给个黑链关键字？

 

核攻击 | 2012-04-13 19:00

请检查系统目录是否存在以下文件

c:\Windows\xlkfs.dat

c:\Windows\xlkfs.dll

c:\Windows\xlkfs.ini

c:\Windows\System32\drivers\xlkfs.sys

（PS：尼玛的，＼被过滤了？）

 

赵小布 | 2012-04-14 09:57

@xsser 六合彩

 

赵小布 | 2012-04-14 09:58

@核攻击 多谢，周一去看下。

 

xsser (白日放歌需纵酒) | 2012-04-14 11:12

各位有结果了务必结贴哦

 

赵小布 | 2012-04-16 09:42

@xsser 啊哦，上周五晚上主页被改了。有兄弟友情测试的吗？？？？

 

xsser (白日放歌需纵酒) | 2012-04-16 10:55

@赵小布 ......

 

赵小布 | 2012-04-16 14:17

@核攻击 兄弟，全被你说中了，加我企鹅1004745612，求教。

 

xsser (白日放歌需纵酒) | 2012-04-16 17:04

@赵小布 我草 ！！！！

 

紫梦芊 (null<>'') | 2012-04-16 19:14

膜拜 @核攻击

我们这些只会玩脚本的各种羡慕嫉妒恨啊~

 

…… 省略 ……


 
 


以上回复没有一个正确的，都是不知所云，乱回复一通，晕……

可见各位白帽子对黑产知之甚少啊……

其实这个问题，经常有朋友问我，我也都帮大家解决了……

但是现在这些现象越来越严重，而且手法毒辣、隐蔽、变态，清除了又来了，删掉了又恢复了，最后直接找不到文件了，但是访问网站还在，急的各大管理员、站长抓耳挠腮、不知所措。

所以我觉得，很有必要写个关于这个的专题文章，彻底剖析原理，揭露真相，也许能帮到各大站长、管理员。

\(^o^)/

正文开始……


 
 


本文将全面讲述各种隐藏 WebShell、创建、删除畸形目录、特殊文件名的方法，应该是网上最全、最详细的了……

另外，再大概说一下各种黑帽SEO作弊方法，以帮助广大站长、管理员彻底清理这些文件……

说明，以下操作均以“Windows Server 2003 SP2”做示范，其他系统请自行以此类推。

说到隐藏 WebShell 的方法，从最初的包含图片（#include file="a.jpg"）、设置文件隐藏属性（Fso 组件可以做到，完全支持），再到较早的畸形目录、特殊文件名（两年前开始流行），或者两者结合使用（例如：c:\a.\aux.txt），直到现在的驱动级隐藏（大约一年半前开始流行），这些小黑客们也算是有一点进步吧……

先扫盲，普及一下相关知识：


 
 


畸形目录：

目录名中存在一个或多个 . (点、英文句号)

特殊文件名：

其实是系统设备名，这是 Windows 系统保留的文件名，普通方法无法访问，主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt

驱动级隐藏：

由于这些小黑客们都没有能力编写驱动，所以主要是借助一些第三方软件进行隐藏，例如：Easy File Locker 1.3，如今很流行，底下会详细讲。

其他方法：

循环锁定文件，一两年前曾经很火爆，首先弄一个非木马脚本（不会被杀），只有简单的文件读写功能，然后在一个24小时运行的服务器上，使用程序每隔一秒请求一次该脚本，该脚本每次执行时会检查目标文件（某个挂马或者黑帽SEO的文件）的大小以及属性是否正确，如果不是，那么就删除，然后重写，在设置属性，从而达到“文件锁定”的目的，该方法一般和畸形目录+特殊文件名配合使用。

另类方法：

Aspx 可以打开文件，但不关闭句柄，在此期间该文件就无法删除或修改，有效期直到下次IIS或服务器重启。

如果无法提权，但是支持低权限运行程序，那就可以写一个简单的程序传上去，低权限锁定文件，直到该进程结束或服务器重启，锁定方法可以参考上边的，例如循环监视锁定，或者文件句柄……


 
 


以上这些隐藏方法，如今已经被大量应用到黑帽 Seo、挂马、关键词优化等非法活动中了，各大站长、管理员深受其害……

畸形目录、特殊文件名的创建、删除方法都很简单：


 
 


畸形目录：

只需要记住将一个点换成两个点就行了，例如：

创建一个“a..”目录：md c:\a..\，实际显示为：c:\a.\，普通方法无法访问，以此类推，也可以为多个点……

删除的方法也一样：rd /s /q c:\a..\

特殊文件名：

稍微复杂点，普通的路径访问是无法访问的，需要用这种方式的路径：\\.\c:\aux.txt 或 \\?\c:\aux.txt 或 \\计算机名\c:\aux.txt（网上邻居形式的路径），例如：

创建一个文件：echo hello>\\.\c:\aux.txt

读取该文件内容：type \\.\c:\aux.txt

删除该文件：del /f /q /a \\.\c:\com1.txt

很简单，是吧，好的，现在我们挑战更复杂一点的……

畸形目录 + 特殊文件名：

创建：

md c:\a..\

echo hello>\\.\c:\a..\aux.txt

读取：

type \\.\c:\a..\aux.txt

删除的方法已经不能用刚才的了，需要这样：

rd /s /q \\.\c:\a..\

（还有些其他的特殊路径，可以参考：带点文件夹的创建与删除、【技巧】名字带“\”文件夹的创建与删除 ）


 
 


很好，现在，你已经学会了如何处理这种目录、文件了，以上的操作，Asp 使用 Fso 组件完全可以做到，完全支持这种路径，也就是说普通的 WebShell 权限就可以完成了……

\(^o^)/

至于“其他方法”和“另类方法”的清理就比较简单了，例如：

其他方法：

找出可疑脚本，然后删除即可，可以搜索关键词，例如 Asp 中的：FSO、FileSystemObject、OpenTextFile、CreateTextFile、CopyFile、DeleteFile、.Write 等……

其实最简单的方法是查看IIS日志，看那个文件被频繁大量请求，然后找出该文件，然后你懂的……

此方法经常配合畸形目录、特殊文件名、包含图片等结合使用，使用刚才讲过的方法清理即可。

另类方法：

比较简单了，找出可疑进程，最明显的是用户名是IIS的账户，结束掉，然后删除该文件。

最后重启 IIS 即可，各种锁定文件句柄的方法统统会失效，或者干脆重启服务器。

再提一下，一般，一个有价值的网站，他们不会轻易放弃的，会留下一堆后门，各种文件中插入一句话，保留原来的漏洞或者人为的制造一个漏洞，即使所有后门都被清理，依旧可以拿下！

而且还会定期检查，有人还使用软件24小时监控挂马的页面，每秒一次，发现不存在某个关键词就报警，然后攻击者就上去恢复，这也是为什么删了又会出现，删不干净的原因……

如果已经遭到提权的话，系统可能已经中了一堆木马，各种“粘滞键后门”、“放大键后门”、“Win+U后门”、“隐藏、克隆账户”、“触发式后门”等……

所以，你事后需要要全面检查下系统了，不要忘记检查杀毒软件的白名单，你懂的……

进行这些操作，我本人推荐使用手工杀毒工具“PowerTool v4.2”、“XueTr v0.45”，在文章的最后我会写上官方下载地址。

使用这两个软件要注意下，它们使用的驱动兼容性很差，有比较大的几率会造成系统蓝屏，所以如果您的机器不支持在线重启的话，您可要掂量好再用，希望他们以后的版本能改进下……


 
 


说到驱动隐藏，最典型的现象就是系统盘及系统目录中存在以下文件：
c:\Program Files\Easy File Locker
c:\Program Files\Easy File Locker\FileLocker.exe
c:\Program Files\Easy File Locker\uninst.exe
c:\Documents and Settings\Administrator\桌面\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Uninstall.lnk

↑　以上文件十有八九已被攻击者删除（管理员想破脑袋，都不知道怎嘛回事），但以下文件是绝对存在的！　↓

c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys
该软件名字叫：Easy File Locker，一般用 Easy File Locker 1.3，或着是其它版本，你可以搜一下，网上一堆……功能很简单，简单的驱动隐藏文件（简单的 C、C++ 就可以实现，网上大量源码），支持单个文件或者整个目录。支持设置访问权限，属性为：可读/可访问（Accessible）、可写（Writable）、可删除（Deletable）、可见（Visible）一般做黑链的小朋友都会这样设置：只勾选可读，其他的一律拒绝……那么，会有这样的效果，该文件不会显示，不能通过列目录列出来，也不能删除，除非你知道完整路径，你才可以读取文件内容。这也是为什么各位管理员头疼的地方了，愣是找不到文件，但是直接访问网站却是可以执行的……╮(╯_╰)╭并且该软件还可以设置密码，启动、修改设置、卸载及重复安装的时候都需要密码，更蛋疼的是，主界面、卸载程序等都可以删除，只留下核心的驱动文件就行了……可以做到无进程、无启动项，无任何异常，因为只加载了一个驱动……这也是很多管理员想破头都不知道怎吗回事的原因……说完他的原理、特性，我们再讲讲清除它的方法（不管有没有密码）：首先设置系统“显示隐藏文件”，步骤如下：1、随意打开一个文件夹、磁盘2、在文件浏览窗口，依次点击：工具（顶部菜单） --> 文件夹选项 --> 查看（顶部选项卡）3、依次勾选或点选，设置：隐藏受保护的操作系统文件（不勾选）、显示所有文件和文件夹（选中）、隐藏已知文件类型的扩展名（不勾选），然后点击确定按钮。提示，如果无法正常选中，例如复选框为灰色、不可操作、勾选无效等现象，说明对应的注册表项已被破坏，可以使用以下注册表代码进行修复：
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 

"CheckedValue"=dword:00000001
将以上代码保存为：Fix_Hide_File.Reg（修复隐藏文件），然后双击导入注册表即可。然后以文本方式可以打开：C:\WINDOWS\xlkfs.ini，这是“Easy File Locker”的配置文件，不出所料的话，你可以看到它的配置信息……（呵呵，也许会有朋友会问，如果他们连这个文件都隐藏了的话怎么办？很遗憾，该软件不支持隐藏自身的配置文件……）内容例如：
[Common]
Count=4
[0]
Path=C:\a.txt
Type=0
Access=14
[1]
Path=C:\b.txt
Type=0
Access=14
[2]
Path=C:\c.txt
Type=0
Access=14
[3]
Path=C:\d.txt
Type=0
Access=14
文件、文件夹的路径、设置的权限等一览无余……注意！！这里记得要把这个文件复制一份单独留着，等会儿清理被隐藏文件的时候要用到！！切记！！！！然后删除上边所列的所有文件，尤其是系统目录中的那四个文件，如果无法删除可以考虑使用第三方工具强删，然后重启系统。系统启动后会提示：至少有一个服务或驱动程序无法加载或错误。这是由于我们删除了那个驱动文件，但是驱动加载项还在，所以会提示加载错误，不理即可。进入系统后，你会发现隐藏的文件全都回来了，那么，就简单多了，对照你先前备份的那个配置文件，挨个清理即可……（如果要彻底清除密码，只需要重装该软件，此时不会提示有密码，再卸载即可……）最后，再检查下杀毒软件白名单中的内容（参考上边的内容进行全面检查，上边说过不再重复），你懂的……最后再简单的说说黑帽SEO作弊的方法，方便广大站长清理对应的文件。一般都是劫持百度蜘蛛，很早之前，是在你网站单独放一个脚本文件，该脚本会远程调用攻击者的服务器数据，然后动态显示各种页面，也有少数是把数据库放在你网站，或者干脆生成静态的页面。然后在你网站的首页（或其他高权重网站）放置一个指向该文件的链接（隐藏的），然后下次蜘蛛抓取的时候，自然会爬向该文件，从而抓取一堆攻击者的预先防止好的数据（通常是生成的垃圾文章堆砌关键词），如果你网站权重够高的话，那么这些关键词会排到较好的位置，从而给攻击者带来巨大的流量，以及很好的经济效益……（权重：网站的权威性和重要性，相当于谷歌的PR值，是百度对网站评价的一个打分，网站权重越高，那么排名越高、收录越快、越多。）简单地说，就是在你的网站中生成了一个“小网站”，蜘蛛抓取后，自然会认为是你网站的内容，会按照你网站的权重给于相应的排名。当有人从百度或者其他搜索引擎点进来的时候，那些脚本会判断来路“Referer: http://www.baidu.com/”，或者直接跳转到攻击者的总页面，从而进行跳转或挂马操作。当给很多个高权重网站重复以上操作以后，带来的流量就相当可观了，相当于养了一个高权重站群！而一般政府（gov）、教育（edu）等机构的网站权重都比较高，这也是为什么各路人马都在喊：高价收购政府站、教育站。这种做法，大约是两三年前的做法，后来做的太疯狂了，百度进行了改版，修改了抓取算法。导致结果是，他们的数据依然是抓取的，但是会在半个月或者一个月后才放出来快照，然后才给于排名，这大大的影响了黑帽SEO行业，于是新的做法出现了：全局劫持！什么叫全局劫持？由于百度短时间内不会收录突然冒出来的新链接，所以小黑客们就想到了新的招数：利用网站原有页面进行作弊……So，邪恶的东西来了：Global.asa、Global.asax，实际上这个方法在很多年前挂马的时候就应用到了。这两个文件是 Asp 和 Aspx 独有的特殊文件，作用是在每次执行一个动态脚本的时候，都会先加载该脚本，然后再执行目标脚本。（该文件还可以进行简单的文件锁定，因为每次都先执行嘛，所以可以每次都判断一次某个文件状态，然后进行某些操作，和上边的循环监视锁定的效果是一样的。）（实际上不一定非要写这俩文件，例如：conn.asp、conn.php 等被大量脚本包含的通用文件都可以，效果是一样的，而且比这个隐蔽多了……）关于这个文件具体的细节就不说了，不然又是个长篇大论，想了解的可以去搜搜，或者参考：http://baike.baidu.com/view/673542.htm所以效果就来了，既然执行每个脚本的时候都会先执行该文件，小黑客们就想到了劫持蜘蛛的方法，在 Global.asa 中写判断用户系统信息的代码（User-Agent: Mozilla/5.0），然后判断是否是蜘蛛、来路是什么等信息……如果是蜘蛛来访，那么就会输出SEO作弊用的关键词，否则就显示正常页面，如果你网站更新频率很高的话，那么几乎是刚挂上关键词就收录了，就来量了，很快。如果用户来路信息为搜索引擎，那么就跳转到攻击者的页面，否则显示正常页面。最后造成的影响就是，例如百度：site:lcx.cc，所有原有页面快照都变成了攻击者的关键词（最典型的就是首页了，因为首页快照更新周期短、频率高，而且权重高），然后你点进去就会跳转到另外一个页面（攻击者挂马的页面）……如果你不是从百度等搜索引擎点进去的，而是直接访问该网站，那是不会有任何异常现象的，所以该方法比较隐蔽……前几个月新闻媒体疯狂报道的“某某政府网站快照是色情网站、六合彩”等新闻，就是因为这样……而该方法有个很严重的后果，刚开始SEO作弊带来的访问量很大，然后快照越来越少，最后被K光了，对被挂的网站影响很大，基本是毁了……如今的SEO作弊方法略有改进，但万变不离其中，高权重网站是必不可少的，修改你网站文件、劫持百度蜘蛛是必不可少的，这里只是略提一下，实际上要复杂得多……这篇文章基本上算是写完了，各位站长、管理员知道了原理，就可以对症下药了……最后提供各种提到的软件下载：（以下地址均为官方网站，可放心下载！）XueTr v0.45：http://www.xuetr.com/、http://t.qq.com/linxerPowerTool v4.2：http://hi.baidu.com/ithurricane/blog、http://t.qq.com/powertoolEasy File Locker 1.3：http://www.xoslab.com/