各类隐藏 WebShell、建立、删除畸形目录、特殊文件名、黑帽SEO做弊(转自核大大)

其实这个问题，常常有朋友问我，我也都帮你们解决了……

可是如今这些现象愈来愈严重，并且手法毒辣、隐蔽、变态，清除了又来了，删掉了又恢复了，最后直接找不到文件了，可是访问网站还在，急的各大管理员、站长抓耳挠腮、不知所措。

因此我以为，颇有必要写个关于这个的专题文章，完全剖析原理，揭露真相，也许能帮到各大站长、管理员。

\(^o^)/

正文开始……

本文将全面讲述各类隐藏 WebShell、建立、删除畸形目录、特殊文件名的方法，应该是网上最全、最详细的了……

另外，再大概说一下各类黑帽SEO做弊方法，以帮助广大站长、管理员完全清理这些文件……

说明，如下操做均以“Windows Server 2003 SP2”作示范，其余系统请自行以此类推。

说到隐藏 WebShell 的方法，从最初的包含图片（#include file="a.jpg"）、设置文件隐藏属性（Fso 组件能够作到，彻底支持），再到较早的畸形目录、特殊文件名（两年前开始流行），或者二者结合使用（例如：c:\a.\aux.txt），直到如今的驱动级隐藏（大约一年半前开始流行），这些小黑客们也算是有一点进步吧……

先扫盲，普及一下相关知识：

畸形目录：

目录名中存在一个或多个 . (点、英文句号)

特殊文件名：

实际上是系统设备名，这是 Windows 系统保留的文件名，普通方法没法访问，主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt

驱动级隐藏：

因为这些小黑客们都没有能力编写驱动，因此主要是借助一些第三方软件进行隐藏，例如：Easy File Locker 1.3，现在很流行，底下会详细讲。

其余方法：

循环锁定文件，一两年前曾经很火爆，首先弄一个非木马脚本（不会被杀），只有简单的文件读写功能，而后在一个24小时运行的服务器上，使用程序每隔一秒请求一次该脚本，该脚本每次执行时会检查目标文件（某个挂马或者黑帽SEO的文件）的大小以及属性是否正确，若是不是，那么就删除，而后重写，在设置属性，从而达到“文件锁定”的目的，该方法通常和畸形目录+特殊文件名配合使用。

另类方法：

Aspx 能够打开文件，但不关闭句柄，在此期间该文件就没法删除或修改，有效期直到下次IIS或服务器重启。

若是没法提权，可是支持低权限运行程序，那就能够写一个简单的程序传上去，低权限锁定文件，直到该进程结束或服务器重启，锁定方法能够参考上边的，例如循环监视锁定，或者文件句柄……

以上这些隐藏方法，现在已经被大量应用到黑帽 Seo、挂马、关键词优化等非法活动中了，各大站长、管理员深受其害……

畸形目录、特殊文件名的建立、删除方法都很简单：

畸形目录：

只须要记住将一个点换成两个点就好了，例如：

建立一个“a..”目录：md c:\a..\，实际显示为：c:\a.\，普通方法没法访问，以此类推，也能够为多个点……

删除的方法也同样：rd /s /q c:\a..\

特殊文件名：

稍微复杂点，普通的路径访问是没法访问的，须要用这种方式的路径：\\.\c:\aux.txt 或 \\?\c:\aux.txt 或 \\计算机名\c:\aux.txt（网上邻居形式的路径），例如：

建立一个文件：echo hello>\\.\c:\aux.txt

读取该文件内容：type \\.\c:\aux.txt

删除该文件：del /f /q /a \\.\c:\com1.txt

很简单，是吧，好的，如今咱们挑战更复杂一点的……

畸形目录 + 特殊文件名：

建立：

md c:\a..\

echo hello>\\.\c:\a..\aux.txt

读取：

type \\.\c:\a..\aux.txt

删除的方法已经不能用刚才的了，须要这样：

rd /s /q \\.\c:\a..\

（还有些其余的特殊路径，能够参考：带点文件夹的建立与删除、【技巧】名字带“\”文件夹的建立与删除 ）

很好，如今，你已经学会了如何处理这种目录、文件了，以上的操做，Asp 使用 Fso 组件彻底能够作到，彻底支持这种路径，也就是说普通的 WebShell 权限就能够完成了……

\(^o^)/

至于“其余方法”和“另类方法”的清理就比较简单了，例如：

其余方法：

找出可疑脚本，而后删除便可，能够搜索关键词，例如 Asp 中的：FSO、FileSystemObject、OpenTextFile、CreateTextFile、CopyFile、DeleteFile、.Write 等……

其实最简单的方法是查看IIS日志，看那个文件被频繁大量请求，而后找出该文件，而后你懂的……

此方法常常配合畸形目录、特殊文件名、包含图片等结合使用，使用刚才讲过的方法清理便可。

另类方法：

比较简单了，找出可疑进程，最明显的是用户名是IIS的帐户，结束掉，而后删除该文件。

最后重启 IIS 便可，各类锁定文件句柄的方法通通会失效，或者干脆重启服务器。

再提一下，通常，一个有价值的网站，他们不会轻易放弃的，会留下一堆后门，各类文件中插入一句话，保留原来的漏洞或者人为的制造一个漏洞，即便全部后门都被清理，依旧能够拿下！

并且还会按期检查，有人还使用软件24小时监控挂马的页面，每秒一次，发现不存在某个关键词就报警，而后攻击者就上去恢复，这也是为何删了又会出现，删不干净的缘由……

若是已经遭到提权的话，系统可能已经中了一堆木马，各类“粘滞键后门”、“放大键后门”、“Win+U后门”、“隐藏、克隆帐户”、“触发式后门”等……

因此，你过后须要要全面检查下系统了，不要忘记检查杀毒软件的白名单，你懂的……

进行这些操做，我本人推荐使用手工杀毒工具“PowerTool v4.2”、“XueTr v0.45”，在文章的最后我会写上官方下载地址。

使用这两个软件要注意下，它们使用的驱动兼容性不好，有比较大的概率会形成系统蓝屏，因此若是您的机器不支持在线重启的话，您可要掂量好再用，但愿他们之后的版本能改进下……

说到驱动隐藏，最典型的现象就是系统盘及系统目录中存在如下文件：

c:\Program Files\Easy FileLockerc:\Program Files\Easy FileLocker\FileLocker.exec:\Program Files\Easy FileLocker\uninst.exec:\Documents andSettings\Administrator\桌面\Easy FileLocker.lnkc:\Documents andSettings\Administrator\「开始」菜单\程序\Easy FileLockerc:\Documents andSettings\Administrator\「开始」菜单\程序\Easy FileLocker\Easy FileLocker.lnkc:\Documents andSettings\Administrator\「开始」菜单\程序\Easy FileLocker\Uninstall.lnk↑　以上文件十有八九已被攻击者删除（管理员想破脑壳，都不知道怎嘛回事），但如下文件是绝对存在的！　↓c:\WINDOWS\xlkfs.datc:\WINDOWS\xlkfs.dllc:\WINDOWS\xlkfs.inic:\WINDOWS\system32\drivers\xlkfs.sys  

该软件名字叫：Easy File Locker，通常用 Easy File Locker 1.3，或着是其它版本，你能够搜一下，网上一堆……

功能很简单，简单的驱动隐藏文件（简单的 C、C++ 就能够实现，网上大量源码），支持单个文件或者整个目录。

支持设置访问权限，属性为：可读/可访问（Accessible）、可写（Writable）、可删除（Deletable）、可见（Visible）

通常作黑链的小朋友都会这样设置：只勾选可读，其余的一概拒绝……

那么，会有这样的效果，该文件不会显示，不能经过列目录列出来，也不能删除，除非你知道完整路径，你才能够读取文件内容。

这也是为何各位管理员头疼的地方了，愣是找不到文件，可是直接访问网站倒是能够执行的……

╮(╯_╰)╭

而且该软件还能够设置密码，启动、修改设置、卸载及重复安装的时候都须要密码，更蛋疼的是，主界面、卸载程序等均可以删除，只留下核心的驱动文件就好了……

能够作到无进程、无启动项，无任何异常，由于只加载了一个驱动……

这也是不少管理员想破头都不知道怎吗回事的缘由……

说完他的原理、特性，咱们再讲讲清除它的方法（无论有没有密码）：

首先设置系统“显示隐藏文件”，步骤以下：

一、随意打开一个文件夹、磁盘

二、在文件浏览窗口，依次点击：工具（顶部菜单） --> 文件夹选项 --> 查看（顶部选项卡）

三、依次勾选或点选，设置：隐藏受保护的操做系统文件（不勾选）、显示全部文件和文件夹（选中）、隐藏已知文件类型的扩展名（不勾选），而后点击肯定按钮。

提示，若是没法正常选中，例如复选框为灰色、不可操做、勾选无效等现象，说明对应的注册表项已被破坏，可使用如下注册表代码进行修复：

WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001  

将以上代码保存为：Fix_Hide_File.Reg（修复隐藏文件），而后双击导入注册表便可。

而后以文本方式能够打开：C:\WINDOWS\xlkfs.ini，这是“Easy File Locker”的配置文件，不出所料的话，你能够看到它的配置信息……

（呵呵，也许会有朋友会问，若是他们连这个文件都隐藏了的话怎么办？很遗憾，该软件不支持隐藏自身的配置文件……）

内容例如：

[Common]Count=4[0]Path=C:\a.txtType=0Access=14[1]Path=C:\b.txtType=0Access=14[2]Path=C:\c.txtType=0Access=14[3]Path=C:\d.txtType=0Access=14  

文件、文件夹的路径、设置的权限等尽收眼底……

注意！！这里记得要把这个文件复制一份单独留着，等会儿清理被隐藏文件的时候要用到！！切记！！！！

而后删除上边所列的全部文件，尤为是系统目录中的那四个文件，若是没法删除能够考虑使用第三方工具强删，而后重启系统。

系统启动后会提示：至少有一个服务或驱动程序没法加载或错误。

这是因为咱们删除了那个驱动文件，可是驱动加载项还在，因此会提示加载错误，不理便可。

进入系统后，你会发现隐藏的文件全都回来了，那么，就简单多了，对照你先前备份的那个配置文件，挨个清理便可……

（若是要完全清除密码，只须要重装该软件，此时不会提示有密码，再卸载便可……）

最后，再检查下杀毒软件白名单中的内容（参考上边的内容进行全面检查，上边说过再也不重复），你懂的……

最后再简单的说说黑帽SEO做弊的方法，方便广大站长清理对应的文件。

通常都是劫持百度蜘蛛，很早以前，是在你网站单独放一个脚本文件，该脚本会远程调用攻击者的服务器数据，而后动态显示各类页面，也有少数是把数据库放在你网站，或者干脆生成静态的页面。

而后在你网站的首页（或其余高权重网站）放置一个指向该文件的连接（隐藏的），而后下次蜘蛛抓取的时候，天然会爬向该文件，从而抓取一堆攻击者的预先防止好的数据（一般是生成的垃圾文章堆砌关键词），若是你网站权重够高的话，那么这些关键词会排到较好的位置，从而给攻击者带来巨大的流量，以及很好的经济效益……

（权重：网站的权威性和重要性，至关于谷歌的PR值，是百度对网站评价的一个打分，网站权重越高，那么排名越高、收录越快、越多。）

简单地说，就是在你的网站中生成了一个“小网站”，蜘蛛抓取后，天然会认为是你网站的内容，会按照你网站的权重给于相应的排名。

当有人从百度或者其余搜索引擎点进来的时候，那些脚本会判断来路“Referer: http://www.baidu.com/”，或者直接跳转到攻击者的总页面，从而进行跳转或挂马操做。

当给不少个高权重网站重复以上操做之后，带来的流量就至关可观了，至关于养了一个高权重站群！

而通常政府（gov）、教育（edu）等机构的网站权重都比较高，这也是为何各路人马都在喊：高价收购政府站、教育站。

这种作法，大约是两三年前的作法，后来作的太疯狂了，百度进行了改版，修改了抓取算法。

致使结果是，他们的数据依然是抓取的，可是会在半个月或者一个月后才放出来快照，而后才给于排名，这大大的影响了黑帽SEO行业，因而新的作法出现了：全局劫持！

什么叫全局劫持？因为百度短期内不会收录忽然冒出来的新连接，因此小黑客们就想到了新的招数：利用网站原有页面进行做弊……

So，邪恶的东西来了：Global.asa、Global.asax，实际上这个方法在不少年前挂马的时候就应用到了。

这两个文件是 Asp 和 Aspx 独有的特殊文件，做用是在每次执行一个动态脚本的时候，都会先加载该脚本，而后再执行目标脚本。

（该文件还能够进行简单的文件锁定，由于每次都先执行嘛，因此能够每次都判断一次某个文件状态，而后进行某些操做，和上边的循环监视锁定的效果是同样的。）

（实际上不必定非要写这俩文件，例如：conn.asp、conn.php 等被大量脚本包含的通用文件均可以，效果是同样的，并且比这个隐蔽多了……）

关于这个文件具体的细节就不说了，否则又是个长篇大论，想了解的能够去搜搜，或者参考：http://baike.baidu.com/view/673542.htm

因此效果就来了，既然执行每一个脚本的时候都会先执行该文件，小黑客们就想到了劫持蜘蛛的方法，在 Global.asa 中写判断用户系统信息的代码（User-Agent: Mozilla/5.0），而后判断是不是蜘蛛、来路是什么等信息……

若是是蜘蛛来访，那么就会输出SEO做弊用的关键词，不然就显示正常页面，若是你网站更新频率很高的话，那么几乎是刚挂上关键词就收录了，就来量了，很快。

若是用户来路信息为搜索引擎，那么就跳转到攻击者的页面，不然显示正常页面。

最后形成的影响就是，例如百度：site:lcx.cc，全部原有页面快照都变成了攻击者的关键词（最典型的就是首页了，由于首页快照更新周期短、频率高，并且权重高），而后你点进去就会跳转到另一个页面（攻击者挂马的页面）……

若是你不是从百度等搜索引擎点进去的，而是直接访问该网站，那是不会有任何异常现象的，因此该方法比较隐蔽……

前几个月新闻媒体疯狂报道的“某某政府网站快照是色情网站、六合彩”等新闻，就是由于这样……

而该方法有个很严重的后果，刚开始SEO做弊带来的访问量很大，而后快照愈来愈少，最后被K光了，对被挂的网站影响很大，基本是毁了……

现在的SEO做弊方法略有改进，但万变不离其中，高权重网站是必不可少的，修改你网站文件、劫持百度蜘蛛是必不可少的，这里只是略提一下，实际上要复杂得多……

这篇文章基本上算是写完了，各位站长、管理员知道了原理，就能够对症下药了……

最后提供各类提到的软件下载：

（如下地址均为官方网站，可放心下载！）

XueTr v0.45：http://www.xuetr.com/、http://t.qq.com/linxer

PowerTool v4.2：http://hi.baidu.com/ithurricane/blog、http://t.qq.com/powertool

Easy File Locker 1.3：http://www.xoslab.com/

PS：

不要问我为何很了解这些东西，具体缘由你懂的，我不少年前就涉足此行业了，也算是行业中的领头羊了。

当时SEO做弊、黑帽SEO很火爆也很暴力，很疯狂也很赚钱，那个时候作的人基本都赚疯了，一天几万那只能说你作得过小了，固然，当时的技术如今已经全民化了，随便一个小黑客都能作了，不赚钱了，也很差作了……

以上这些文件隐藏、锁定以及市面上全部流行的SEO做弊方法，所有都是那个时候的人们“研发”的……

想当年，各类游戏箱子、全套游戏马通通挂，各类彩票、赌博站、六合彩，互相暴力袭击、各类黑吃黑、最后逼的百度修改抓取算法，百度新出的“该站可能已被入侵”这个提示，就是由于这个行业……

就拿黑吃黑来讲，直接入侵对方挂好的站，强行换成本身的文件，而后暴力锁定，把对手踢出去，连续几个通宵不睡觉，抢站，都是很正常的……

为何抢站？这还用问？？？流量就是钱啊，挂几个小时就是几千，疯狂的抢，人都疯了，你要一天24小时盯着本身站看被抢没……

一些地区甚至还出现了职业抢站团队，本身不作站，专抢别人挂好的站，把不少没实力的人都“抢死了”，太疯狂了……

碰到拿不下的站，就疯狂DDOS，往死里打！

是的，你猜的没错，著名的电磁风暴即是本人在那个是时期开发的，人挡杀人，佛挡杀佛，神挡屠神！铁蹄踏过，一片焦土！谁敢反抗，灭谁！

还记得当年闲暇时间，没事无聊跑去攻击大型网络游戏、对战平台的机房、服务器，形成全区掉线，以此取乐，挥金如土，当时人都疯了……

这个软件完全改变了互联网的命运，刷新了DDOS的历史，完全改变了DDOS的传统模式，掀起了一场DDOS技术革命，以此原型所滋生的软件不可胜数，一直火爆至今……

另一些没有攻击能力的人，就会使用各类手段查找该网站管理员的联系方式，使尽浑身解数联系并举报给该管理员，管理员就会上服务器清理掉，不让我赚钱，你也别想赚钱！！！

太疯狂、太变态、太暴力了，着实印证了那句话，走在世界最前端的人，不是天才，就是疯子！……

现在，我已经不接触黑产了，因而我把它写了出来，这里只是简略的提了一下，实际上比这疯狂的多，按我如今的标准来讲的话，这些方法实在是太大众化了，过低级了，早已过期了……