正在阅读:

遭遇驱动级文件隐藏

8,477

今天朋友维护的网站被人挂马了,百度及Google搜索会发现枪*支等关键词,查了很长时间都没有找到原因,让小弟帮忙查了一下,最终发现服务器遭遇了驱动级的文件隐藏,以前我也没有遇到过,记录一下,分享给有需要的朋友。

现象:

通过百度及Google搜索发现网站N多页面被收录为枪*支页面,访问后发现URL中存在hark.asp,URL类似下面的。

http://www.xxxx.net/hark.asp?t5U2/4fzjWz.html

黑帽seo

黑帽seo

分析:

1、服务器使用文件查找hark.asp 未查找到文件。

2、检测了第三方js未发现hark.asp。

3、检查了CSS等,未发现跳转代码。

4、使用阿D及安全狗,未发现shell,安全狗发现挂马,但是是误报的。

最后问了群友,说有可能是中了驱动级的文件隐藏来实现黑帽SEO的,有如下特征:


系统目录存在如下文件:
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys

一查,果然是有的,如下图:

驱动级文件隐藏

此驱动级隐藏文件会在服务项增加一个xlkfs的服务

驱动文件路径为:c:\WINDOWS\system32\drivers\xlkfs.sys

配置文件路径为:c:\WINDOWS\xlkfs.ini

配置文件

清理:

1、查询服务状态:

sc qc xlkfs

服务名

2、停止服务:

net stop xlkfs

服务停止以后,经驱动级隐藏的文件即可显现,终于找到了hark.asp

3、删除服务:

sc delete xlkfs

删除服务

4、删除系统目录下面的文件。

5、重启系统,确认服务已经被清理了。

最后感谢提供帮助的小伙伴们:@HST-SEC-NEW 小姜,Feel,viki 等大牛。

参考文章:

http://lcx.cc/?i=2416

目前有:3条访客评论,博主回复3

  1. 小莫
    2016-03-12 18:29

    easy file locker隐藏软件!

  2. 街拍77网
    2016-07-02 15:21

    难怪,以前一个企业网站就遇到类似问题,怎么说就找不到木马文件,原来是这么回事

  3. 到底
    2016-11-19 06:24

    rootkit文件隐藏

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌