账号通
    

账号  

密码  

4639

查看

4

回复
主题:被挂马的注意了,删不掉的文件及目录是后门!!! [收藏主题] 转到:  
sunsons 当前离线

429

主题

0

广播

2

粉丝
添加关注
级别:四年级

用户积分:3563 分
登录次数:673 次
注册时间:2009/1/22
最后登录:2017/6/6
sunsons 发表于:2009/9/15 17:09:00   | 只看该作者 查看该作者主题 楼主 
科汛智能建站系统

以下黄色部分是网摘:

利用Windows以设备命名文件夹拒绝服务漏洞
新建以下这些名字的文件(或文件夹):aux、com1、com2、prn、con、nul,系统会提示无法建立。
我们可以在命令行窗口中建立,然后将文件copy进去,这样,文件打不开也删不掉。

 

挂马的人有部份马是创建在这类文件里面导致看不到文件大小,或无法打开查看。。

 

如无法清除这些文件将会导致后门永远的敞开。。。挂马者就自出自入。。

 

2009-09-12 22:26:05 W3SVC1 124.172.250.63 GET /xml/_vit./sre.asp - 80 - 125.78.4.84 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) - 200 0 0

看我这个日志。很明显挂马者创建了个“_vit./”这样的文件夹,但是一般情况下无法删除也无法打开。

 

在网上搜了下,解决方法:

 

1、据说用文件粉碎机可以清除这类文件。。

2、另一种方法使用CMD命令:

     如,进入XML目录后:rd /s /q _vit..\

     命令的形式是 rd /s /q + 需删除的特殊文件夹+.\

 

表述的不是很好,参考下搜索出来的文章吧:http://www.chinadforce.com/viewthread.php?tid=783260

 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
gaga3000 当前离线

62

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:764 分
登录次数:68 次
注册时间:2009/7/29
最后登录:2014/6/20
gaga3000 发表于:2009/10/2 17:38:00   | 只看该作者 查看该作者主题 沙发 
科汛智能建站系统

#Software: Microsoft Log Parser
#Version: 1.0
#Date: 2009-09-30 23:56:01
#Fields: LogFilename RecordNumber ComputerName SiteID DateTime ClientIpAddress ServerIpAddress ServerPort Method ProtocolVersion ProtocolStatus SubStatus TimeTaken BytesSent BytesReceived Win32Status UriStem UriQuery UserName
d:\iislog\W3SVC\ra090930.ibl 15331 1-0523606520CD4 1055 2009-09-30 00:05:16 222.245.208.146 114.80.67.174 80 POST HTTP/1.1 200 0 718 487 1573 0 /admin/include/UpFileSave.asp - -
d:\iislog\W3SVC\ra090930.ibl 15440 1-0523606520CD4 1055 2009-09-30 00:05:17 222.245.208.146 114.80.67.174 80 POST HTTP/1.1 200 0 1781 371 228 0 /Template/rss.asa - -
d:\iislog\W3SVC\ra090930.ibl 1245508 1-0523606520CD4 1055 2009-09-30 06:01:59 222.173.104.238 114.80.67.174 80 GET HTTP/1.1 404 0 78 1468 208 2 /favicon.ico - -
d:\iislog\W3SVC\ra090930.ibl 2396943 1-0523606520CD4 1055 2009-09-30 11:47:05 219.234.81.100 114.80.67.174 80 GET HTTP/1.0 200 0 500 40228 568 0 /index.html - -

 

貌似这个挂马者连后台都没进哎

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
做爱吧 当前离线

126

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:900 分
登录次数:18 次
注册时间:2007/6/17
最后登录:2009/10/30
做爱吧 发表于:2009/9/15 17:13:00   | 只看该作者 查看该作者主题 藤椅 
科汛在线网校系统
我把ftp上相关文件都删了,看看还会不会第四次挂马
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
sjy6553 当前离线

94

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:1235 分
登录次数:112 次
注册时间:2006/6/12
最后登录:2021/6/2
sjy6553 发表于:2009/9/16 10:51:00   | 只看该作者 查看该作者主题 板凳 

还是会,我测试了把,ftp清空还原,有默认的两个 隐藏后门删不掉

 

 

KS_Cls\inedx.asp

KS_Editor\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\inedx.asp

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
sunsons 当前离线

429

主题

0

广播

2

粉丝
添加关注
级别:四年级

用户积分:3563 分
登录次数:673 次
注册时间:2009/1/22
最后登录:2017/6/6
sunsons 发表于:2009/9/15 17:17:00   | 只看该作者 查看该作者主题 报纸 
科汛在线网校系统


此主题相关图片如下:ftp.gif
ftp.gif

好像我在FTP上是删不掉这样的文件夹的。。。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.21973秒 powered by KesionCMS 9.0