1、服务器使用文件查找hark.asp 未查找到文件。
2、检测了第三方js未发现hark.asp。
3、检查了CSS等,未发现跳转代码。
4、使用阿D及安全狗,未发现shell,安全狗发现挂马,但是是误报的。
驱动级的文件隐藏来实现黑帽SEO的,有如下特征:
系统目录存在如下文件:
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys
此驱动级隐藏文件会在服务项增加一个xlkfs的服务
驱动文件路径为:c:\WINDOWS\system32\drivers\xlkfs.sys
配置文件路径为:c:\WINDOWS\xlkfs.ini
1、查询服务状态:
sc qc xlkfs
2、停止服务:
net stop xlkfs
服务停止以后,经驱动级隐藏的文件即可显现,终于找到了hark.asp
3、删除服务:
sc delete xlkfs
4、删除系统目录下面的文件。
5、重启系统,确认服务已经被清理了。
转载自https://www.waitalone.cn/hack-seo-drive.html