栏目导航: 首页 > 安全防御 > 网站安全 > 内容

Webshell清除-解决驱动级文件隐藏挂马

www.hx99.net    时间: 2016-03-03    阅读: 次     整理: 华西安全网

  今天朋友维护的网站被人挂马了,百度及Google搜索会发现枪*支等关键词,查了很长时间都没有找到原因,让小弟帮忙查了一下,最终发现服务器遭遇了驱动级的文件隐藏,以前我也没有遇到过,记录一下,分享给有需要的朋友。

  现象:

  通过百度及Google搜索发现网站N多页面被收录为枪*支页面,访问后发现URL中存在hark.asp,URL类似下面的。

  http://www.xxxx.net/hark.asp?t5U2/4fzjWz.html

  



 

  分析:

  1、服务器使用文件查找hark.asp 未查找到文件。

  2、检测了第三方js未发现hark.asp。

  3、检查了CSS等,未发现跳转代码。

  4、使用阿D及安全狗,未发现shell,安全狗发现挂马,但是是误报的。

  最后问了群友,说有可能是中了驱动级的文件隐藏来实现黑帽SEO的,有如下特征:

  系统目录存在如下文件:

以下是代码片段:
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys

 

  一查,果然是有的,如下图:

  



 

  此驱动级隐藏文件会在服务项增加一个xlkfs的服务

  驱动文件路径为:c:\WINDOWS\system32\drivers\xlkfs.sys

  配置文件路径为:c:\WINDOWS\xlkfs.ini

  



 

  清理:

  1、查询服务状态:

以下是代码片段:
sc qc xlkfs

 

  



 

  2、停止服务:

以下是代码片段:
net stop xlkfs

 

  3、删除服务:

以下是代码片段:
 
sc delete xlkfs

 

  



 

  4、删除系统目录下面的文件。

  5、重启系统,确认服务已经被清理了。

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭