昨天用闲来无事用手机浏览博客,打开后发现竟然是个Webshell页面,密码还是默认的“amdin”,果断上电脑上查看,却是可以正常打开博客,经检查发现原来是wap.asp文件被换成大马了,除此之外还多了lpt2.wap.asp和lpt3.wap.asp这两个可疑文件,打开发现同样是ASP木马,进FTP把wap.asp文件替换然后删除另外2个大马却怎么也删除不了,看来是碰到传说中的“不死僵尸”asp木马了。
我们知道Windows下是不能以aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9这些系统保留文件名来命名文件或文件夹的,但是通过copy命令却可以实现,方法就是在cmd中输入
copy E:\Web\asp\wwwroot\wap.asp \\.\E:\Web\asp\wwwroot\lpt2.wap.asp
记得必须要有\\.\,否则会出现“系统找不到指定的文件”提示,而这样的文件在IIS中却是可以成功解析的,webshell中的不死僵尸木马后门正是利用了这个原理来隐藏后门,这种不死马在图形界面下根本无法删除,只能通过cmd中输入
del \\.\E:\Web\asp\wwwroot\lpt2.wap.asp
命令来删除,如果没有这个权限就联系自己的空间商帮忙删除吧。
4361
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
