邮箱:service@hongdaqianqiu.com
今天朋友维护的网站被人挂马了,百度及Google搜索会发现枪*支等关键词,查了很长时间都没有找到原因,让小弟帮忙查了一下,最终发现服务器遭遇了驱动级的文件隐藏,以前我也没有遇到过,记录一下,分享给有需要的朋友。
通过百度及Google搜索发现网站N多页面被收录为枪*支页面,访问后发现URL中存在hark.asp,URL类似下面的。
http://www.xxxx.net/hark.asp?t5U2/4fzjWz.html
1、服务器使用文件查找hark.asp 未查找到文件。
2、检测了第三方js未发现hark.asp。
3、检查了CSS等,未发现跳转代码。
4、使用阿D及安全狗,未发现shell,安全狗发现挂马,但是是误报的。
最后问了群友,说有可能是中了驱动级的文件隐藏来实现黑帽SEO的,有如下特征:
系统目录存在如下文件:
|
1
2
3
4
|
c:/WINDOWS/xlkfs.dat
c:/WINDOWS/xlkfs.dll
c:/WINDOWS/xlkfs.ini
c:/WINDOWS/system32/drivers/xlkfs.sys
|
一查,果然是有的,如下图:
此驱动级隐藏文件会在服务项增加一个xlkfs的服务
驱动文件路径为:c:/WINDOWS/system32/drivers/xlkfs.sys
配置文件路径为:c:/WINDOWS/xlkfs.ini
1、查询服务状态:
|
1
|
sc qc xlkfs
|
2、停止服务:
|
1
|
net stop xlkfs
|
服务停止以后,经驱动级隐藏的文件即可显现,终于找到了hark.asp
3、删除服务:
|
1
|
sc delete xlkfs
|
4、删除系统目录下面的文件。
5、重启系统,确认服务已经被清理了。
最后感谢提供帮助的小伙伴们:@HST-SEC-NEW 小姜,Feel,viki 等大牛。
参考文章:
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号
