各類隱藏 WebShell、建立、刪除畸形目錄、特殊文件名、黑帽SEO做弊(轉自核大大)

其實這個問題，常常有朋友問我，我也都幫你們解決了……

可是如今這些現象愈來愈嚴重，並且手法毒辣、隱蔽、變態，清除了又來了，刪掉了又恢復了，最後直接找不到文件了，可是訪問網站還在，急的各大管理員、站長抓耳撓腮、不知所措。

因此我以爲，頗有必要寫個關於這個的專題文章，完全剖析原理，揭露真相，也許能幫到各大站長、管理員。

\(^o^)/

正文開始……

本文將全面講述各類隱藏 WebShell、建立、刪除畸形目錄、特殊文件名的方法，應該是網上最全、最詳細的了……

另外，再大概說一下各類黑帽SEO做弊方法，以幫助廣大站長、管理員完全清理這些文件……

說明，如下操做均以「Windows Server 2003 SP2」作示範，其餘系統請自行以此類推。

說到隱藏 WebShell 的方法，從最初的包含圖片（#include file="a.jpg"）、設置文件隱藏屬性（Fso 組件能夠作到，徹底支持），再到較早的畸形目錄、特殊文件名（兩年前開始流行），或者二者結合使用（例如：c:\a.\aux.txt），直到如今的驅動級隱藏（大約一年半前開始流行），這些小黑客們也算是有一點進步吧……

先掃盲，普及一下相關知識：

畸形目錄：

目錄名中存在一個或多個 . (點、英文句號)

特殊文件名：

實際上是系統設備名，這是 Windows 系統保留的文件名，普通方法沒法訪問，主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt

驅動級隱藏：

因爲這些小黑客們都沒有能力編寫驅動，因此主要是藉助一些第三方軟件進行隱藏，例如：Easy File Locker 1.3，現在很流行，底下會詳細講。

其餘方法：

循環鎖定文件，一兩年前曾經很火爆，首先弄一個非木馬腳本（不會被殺），只有簡單的文件讀寫功能，而後在一個24小時運行的服務器上，使用程序每隔一秒請求一次該腳本，該腳本每次執行時會檢查目標文件（某個掛馬或者黑帽SEO的文件）的大小以及屬性是否正確，若是不是，那麼就刪除，而後重寫，在設置屬性，從而達到「文件鎖定」的目的，該方法通常和畸形目錄+特殊文件名配合使用。

另類方法：

Aspx 能夠打開文件，但不關閉句柄，在此期間該文件就沒法刪除或修改，有效期直到下次IIS或服務器重啓。

若是沒法提權，可是支持低權限運行程序，那就能夠寫一個簡單的程序傳上去，低權限鎖定文件，直到該進程結束或服務器重啓，鎖定方法能夠參考上邊的，例如循環監視鎖定，或者文件句柄……

以上這些隱藏方法，現在已經被大量應用到黑帽 Seo、掛馬、關鍵詞優化等非法活動中了，各大站長、管理員深受其害……

畸形目錄、特殊文件名的建立、刪除方法都很簡單：

畸形目錄：

只須要記住將一個點換成兩個點就好了，例如：

建立一個「a..」目錄：md c:\a..\，實際顯示爲：c:\a.\，普通方法沒法訪問，以此類推，也能夠爲多個點……

刪除的方法也同樣：rd /s /q c:\a..\

特殊文件名：

稍微複雜點，普通的路徑訪問是沒法訪問的，須要用這種方式的路徑：\\.\c:\aux.txt 或 \\?\c:\aux.txt 或 \\計算機名\c:\aux.txt（網上鄰居形式的路徑），例如：

建立一個文件：echo hello>\\.\c:\aux.txt

讀取該文件內容：type \\.\c:\aux.txt

刪除該文件：del /f /q /a \\.\c:\com1.txt

很簡單，是吧，好的，如今咱們挑戰更復雜一點的……

畸形目錄 + 特殊文件名：

建立：

md c:\a..\

echo hello>\\.\c:\a..\aux.txt

讀取：

type \\.\c:\a..\aux.txt

刪除的方法已經不能用剛纔的了，須要這樣：

rd /s /q \\.\c:\a..\

（還有些其餘的特殊路徑，能夠參考：帶點文件夾的建立與刪除、【技巧】名字帶「\」文件夾的建立與刪除 ）

很好，如今，你已經學會了如何處理這種目錄、文件了，以上的操做，Asp 使用 Fso 組件徹底能夠作到，徹底支持這種路徑，也就是說普通的 WebShell 權限就能夠完成了……

\(^o^)/

至於「其餘方法」和「另類方法」的清理就比較簡單了，例如：

其餘方法：

找出可疑腳本，而後刪除便可，能夠搜索關鍵詞，例如 Asp 中的：FSO、FileSystemObject、OpenTextFile、CreateTextFile、CopyFile、DeleteFile、.Write 等……

其實最簡單的方法是查看IIS日誌，看那個文件被頻繁大量請求，而後找出該文件，而後你懂的……

此方法常常配合畸形目錄、特殊文件名、包含圖片等結合使用，使用剛纔講過的方法清理便可。

另類方法：

比較簡單了，找出可疑進程，最明顯的是用戶名是IIS的帳戶，結束掉，而後刪除該文件。

最後重啓 IIS 便可，各類鎖定文件句柄的方法通通會失效，或者乾脆重啓服務器。

再提一下，通常，一個有價值的網站，他們不會輕易放棄的，會留下一堆後門，各類文件中插入一句話，保留原來的漏洞或者人爲的製造一個漏洞，即便全部後門都被清理，依舊能夠拿下！

並且還會按期檢查，有人還使用軟件24小時監控掛馬的頁面，每秒一次，發現不存在某個關鍵詞就報警，而後攻擊者就上去恢復，這也是爲何刪了又會出現，刪不乾淨的緣由……

若是已經遭到提權的話，系統可能已經中了一堆木馬，各類「粘滯鍵後門」、「放大鍵後門」、「Win+U後門」、「隱藏、克隆帳戶」、「觸發式後門」等……

因此，你過後須要要全面檢查下系統了，不要忘記檢查殺毒軟件的白名單，你懂的……

進行這些操做，我本人推薦使用手工殺毒工具「PowerTool v4.2」、「XueTr v0.45」，在文章的最後我會寫上官方下載地址。

使用這兩個軟件要注意下，它們使用的驅動兼容性不好，有比較大的概率會形成系統藍屏，因此若是您的機器不支持在線重啓的話，您可要掂量好再用，但願他們之後的版本能改進下……

說到驅動隱藏，最典型的現象就是系統盤及系統目錄中存在如下文件：

c:\Program Files\Easy FileLockerc:\Program Files\Easy FileLocker\FileLocker.exec:\Program Files\Easy FileLocker\uninst.exec:\Documents andSettings\Administrator\桌面\Easy FileLocker.lnkc:\Documents andSettings\Administrator\「開始」菜單\程序\Easy FileLockerc:\Documents andSettings\Administrator\「開始」菜單\程序\Easy FileLocker\Easy FileLocker.lnkc:\Documents andSettings\Administrator\「開始」菜單\程序\Easy FileLocker\Uninstall.lnk↑　以上文件十有八九已被攻擊者刪除（管理員想破腦殼，都不知道怎嘛回事），但如下文件是絕對存在的！　↓c:\WINDOWS\xlkfs.datc:\WINDOWS\xlkfs.dllc:\WINDOWS\xlkfs.inic:\WINDOWS\system32\drivers\xlkfs.sys  

該軟件名字叫：Easy File Locker，通常用 Easy File Locker 1.3，或着是其它版本，你能夠搜一下，網上一堆……

功能很簡單，簡單的驅動隱藏文件（簡單的 C、C++ 就能夠實現，網上大量源碼），支持單個文件或者整個目錄。

支持設置訪問權限，屬性爲：可讀/可訪問（Accessible）、可寫（Writable）、可刪除（Deletable）、可見（Visible）

通常作黑鏈的小朋友都會這樣設置：只勾選可讀，其餘的一概拒絕……

那麼，會有這樣的效果，該文件不會顯示，不能經過列目錄列出來，也不能刪除，除非你知道完整路徑，你才能夠讀取文件內容。

這也是爲何各位管理員頭疼的地方了，愣是找不到文件，可是直接訪問網站倒是能夠執行的……

╮(╯_╰)╭

而且該軟件還能夠設置密碼，啓動、修改設置、卸載及重複安裝的時候都須要密碼，更蛋疼的是，主界面、卸載程序等均可以刪除，只留下核心的驅動文件就好了……

能夠作到無進程、無啓動項，無任何異常，由於只加載了一個驅動……

這也是不少管理員想破頭都不知道怎嗎回事的緣由……

說完他的原理、特性，咱們再講講清除它的方法（無論有沒有密碼）：

首先設置系統「顯示隱藏文件」，步驟以下：

一、隨意打開一個文件夾、磁盤

二、在文件瀏覽窗口，依次點擊：工具（頂部菜單） --> 文件夾選項 --> 查看（頂部選項卡）

三、依次勾選或點選，設置：隱藏受保護的操做系統文件（不勾選）、顯示全部文件和文件夾（選中）、隱藏已知文件類型的擴展名（不勾選），而後點擊肯定按鈕。

提示，若是沒法正常選中，例如複選框爲灰色、不可操做、勾選無效等現象，說明對應的註冊表項已被破壞，可使用如下注冊表代碼進行修復：

WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001  

將以上代碼保存爲：Fix_Hide_File.Reg（修復隱藏文件），而後雙擊導入註冊表便可。

而後以文本方式能夠打開：C:\WINDOWS\xlkfs.ini，這是「Easy File Locker」的配置文件，不出所料的話，你能夠看到它的配置信息……

（呵呵，也許會有朋友會問，若是他們連這個文件都隱藏了的話怎麼辦？很遺憾，該軟件不支持隱藏自身的配置文件……）

內容例如：

[Common]Count=4[0]Path=C:\a.txtType=0Access=14[1]Path=C:\b.txtType=0Access=14[2]Path=C:\c.txtType=0Access=14[3]Path=C:\d.txtType=0Access=14  

文件、文件夾的路徑、設置的權限等盡收眼底……

注意！！這裏記得要把這個文件複製一份單獨留着，等會兒清理被隱藏文件的時候要用到！！切記！！！！

而後刪除上邊所列的全部文件，尤爲是系統目錄中的那四個文件，若是沒法刪除能夠考慮使用第三方工具強刪，而後重啓系統。

系統啓動後會提示：至少有一個服務或驅動程序沒法加載或錯誤。

這是因爲咱們刪除了那個驅動文件，可是驅動加載項還在，因此會提示加載錯誤，不理便可。

進入系統後，你會發現隱藏的文件全都回來了，那麼，就簡單多了，對照你先前備份的那個配置文件，挨個清理便可……

（若是要完全清除密碼，只須要重裝該軟件，此時不會提示有密碼，再卸載便可……）

最後，再檢查下殺毒軟件白名單中的內容（參考上邊的內容進行全面檢查，上邊說過再也不重複），你懂的……

最後再簡單的說說黑帽SEO做弊的方法，方便廣大站長清理對應的文件。

通常都是劫持百度蜘蛛，很早以前，是在你網站單獨放一個腳本文件，該腳本會遠程調用攻擊者的服務器數據，而後動態顯示各類頁面，也有少數是把數據庫放在你網站，或者乾脆生成靜態的頁面。

而後在你網站的首頁（或其餘高權重網站）放置一個指向該文件的連接（隱藏的），而後下次蜘蛛抓取的時候，天然會爬向該文件，從而抓取一堆攻擊者的預先防止好的數據（一般是生成的垃圾文章堆砌關鍵詞），若是你網站權重夠高的話，那麼這些關鍵詞會排到較好的位置，從而給攻擊者帶來巨大的流量，以及很好的經濟效益……

（權重：網站的權威性和重要性，至關於谷歌的PR值，是百度對網站評價的一個打分，網站權重越高，那麼排名越高、收錄越快、越多。）

簡單地說，就是在你的網站中生成了一個「小網站」，蜘蛛抓取後，天然會認爲是你網站的內容，會按照你網站的權重給於相應的排名。

當有人從百度或者其餘搜索引擎點進來的時候，那些腳本會判斷來路「Referer: http://www.baidu.com/」，或者直接跳轉到攻擊者的總頁面，從而進行跳轉或掛馬操做。

當給不少個高權重網站重複以上操做之後，帶來的流量就至關可觀了，至關於養了一個高權重站羣！

而通常政府（gov）、教育（edu）等機構的網站權重都比較高，這也是爲何各路人馬都在喊：高價收購政府站、教育站。

這種作法，大約是兩三年前的作法，後來作的太瘋狂了，百度進行了改版，修改了抓取算法。

致使結果是，他們的數據依然是抓取的，可是會在半個月或者一個月後才放出來快照，而後纔給於排名，這大大的影響了黑帽SEO行業，因而新的作法出現了：全局劫持！

什麼叫全局劫持？因爲百度短期內不會收錄忽然冒出來的新連接，因此小黑客們就想到了新的招數：利用網站原有頁面進行做弊……

So，邪惡的東西來了：Global.asa、Global.asax，實際上這個方法在不少年前掛馬的時候就應用到了。

這兩個文件是 Asp 和 Aspx 獨有的特殊文件，做用是在每次執行一個動態腳本的時候，都會先加載該腳本，而後再執行目標腳本。

（該文件還能夠進行簡單的文件鎖定，由於每次都先執行嘛，因此能夠每次都判斷一次某個文件狀態，而後進行某些操做，和上邊的循環監視鎖定的效果是同樣的。）

（實際上不必定非要寫這倆文件，例如：conn.asp、conn.php 等被大量腳本包含的通用文件均可以，效果是同樣的，並且比這個隱蔽多了……）

關於這個文件具體的細節就不說了，否則又是個長篇大論，想了解的能夠去搜搜，或者參考：http://baike.baidu.com/view/673542.htm

因此效果就來了，既然執行每一個腳本的時候都會先執行該文件，小黑客們就想到了劫持蜘蛛的方法，在 Global.asa 中寫判斷用戶系統信息的代碼（User-Agent: Mozilla/5.0），而後判斷是不是蜘蛛、來路是什麼等信息……

若是是蜘蛛來訪，那麼就會輸出SEO做弊用的關鍵詞，不然就顯示正常頁面，若是你網站更新頻率很高的話，那麼幾乎是剛掛上關鍵詞就收錄了，就來量了，很快。

若是用戶來路信息爲搜索引擎，那麼就跳轉到攻擊者的頁面，不然顯示正常頁面。

最後形成的影響就是，例如百度：site:lcx.cc，全部原有頁面快照都變成了攻擊者的關鍵詞（最典型的就是首頁了，由於首頁快照更新週期短、頻率高，並且權重高），而後你點進去就會跳轉到另一個頁面（攻擊者掛馬的頁面）……

若是你不是從百度等搜索引擎點進去的，而是直接訪問該網站，那是不會有任何異常現象的，因此該方法比較隱蔽……

前幾個月新聞媒體瘋狂報道的「某某政府網站快照是色情網站、六合彩」等新聞，就是由於這樣……

而該方法有個很嚴重的後果，剛開始SEO做弊帶來的訪問量很大，而後快照愈來愈少，最後被K光了，對被掛的網站影響很大，基本是毀了……

現在的SEO做弊方法略有改進，但萬變不離其中，高權重網站是必不可少的，修改你網站文件、劫持百度蜘蛛是必不可少的，這裏只是略提一下，實際上要複雜得多……

這篇文章基本上算是寫完了，各位站長、管理員知道了原理，就能夠對症下藥了……

最後提供各類提到的軟件下載：

（如下地址均爲官方網站，可放心下載！）

XueTr v0.45：http://www.xuetr.com/、http://t.qq.com/linxer

PowerTool v4.2：http://hi.baidu.com/ithurricane/blog、http://t.qq.com/powertool

Easy File Locker 1.3：http://www.xoslab.com/

PS：

不要問我爲何很瞭解這些東西，具體緣由你懂的，我不少年前就涉足此行業了，也算是行業中的領頭羊了。

當時SEO做弊、黑帽SEO很火爆也很暴力，很瘋狂也很賺錢，那個時候作的人基本都賺瘋了，一天幾萬那隻能說你作得過小了，固然，當時的技術如今已經全民化了，隨便一個小黑客都能作了，不賺錢了，也很差作了……

以上這些文件隱藏、鎖定以及市面上全部流行的SEO做弊方法，所有都是那個時候的人們「研發」的……

想當年，各類遊戲箱子、全套遊戲馬通通掛，各類彩票、賭博站、六合彩，互相暴力襲擊、各類黑吃黑、最後逼的百度修改抓取算法，百度新出的「該站可能已被入侵」這個提示，就是由於這個行業……

就拿黑吃黑來講，直接入侵對方掛好的站，強行換成本身的文件，而後暴力鎖定，把對手踢出去，連續幾個通宵不睡覺，搶站，都是很正常的……

爲何搶站？這還用問？？？流量就是錢啊，掛幾個小時就是幾千，瘋狂的搶，人都瘋了，你要一天24小時盯着本身站看被搶沒……

一些地區甚至還出現了職業搶站團隊，本身不作站，專搶別人掛好的站，把不少沒實力的人都「搶死了」，太瘋狂了……

碰到拿不下的站，就瘋狂DDOS，往死裏打！

是的，你猜的沒錯，著名的電磁風暴即是本人在那個是時期開發的，人擋殺人，佛擋殺佛，神擋屠神！鐵蹄踏過，一片焦土！誰敢反抗，滅誰！

還記得當年閒暇時間，沒事無聊跑去攻擊大型網絡遊戲、對戰平臺的機房、服務器，形成全區掉線，以此取樂，揮金如土，當時人都瘋了……

這個軟件完全改變了互聯網的命運，刷新了DDOS的歷史，完全改變了DDOS的傳統模式，掀起了一場DDOS技術革命，以此原型所滋生的軟件不可勝數，一直火爆至今……

另一些沒有攻擊能力的人，就會使用各類手段查找該網站管理員的聯繫方式，使盡渾身解數聯繫並舉報給該管理員，管理員就會上服務器清理掉，不讓我賺錢，你也別想賺錢！！！

太瘋狂、太變態、太暴力了，着實印證了那句話，走在世界最前端的人，不是天才，就是瘋子！……

現在，我已經不接觸黑產了，因而我把它寫了出來，這裏只是簡略的提了一下，實際上比這瘋狂的多，按我如今的標準來講的話，這些方法實在是太大衆化了，過低級了，早已過期了……