文件夹选项>查看>"隐藏受保护的操作系统文件(推荐)",去掉其前边的钩,选中"显示所有文件和文件夹" 。看木马文件的创建时间,通过搜索找出与其同时创建的文件。第二步:下载Unlocker或者暴力删除文件工具,将这些文件删除。方法三是最简单也是最方便的,通过命令删除:del /f /a /q \\?\%1 rd /s /q \\?\%1把上面的命令保存为.bat后缀名称的文件,然后把不能删除的文件或者文件夹拖到bat文件上就可以。以上仅供参考,服务器操作时请慎重.,WEBD.CN - 西安网站建设,西安网页设计,西安网站优化,西安网站推广,网站建设,网页设计" /> aux、com1、com2、com9、prn、con、nul挂马 - WEBD.CN
联系电话:13484956623  QQ:23090754点击这里给我发消息[隐身]  陕ICP备09019916号 

aux、com1、com2、com9、prn、con、nul挂马

文章作者:c.m
今天谷歌搜索 inurl:file filetype:asa ,有大发现!

http://www.roulvwang.com.cn/aux/(&$'='$&)./aux.asa?file=/REVKH/82522/about:blank
http://www.zhongliu888.cn/com4/(&$'='$&)./lpt5.asa?file=/AFXCK/47493/about:blank
http://www.yqztb.gov.cn/aux/(&$'='$&)./com1.asa?file=/GDQTJ/49440.html
……

看网站首页大多是正常网站,有的甚至是.GOV的。
这里开始,这几千个网页的版面几乎相同(这句话似乎不太准确,本人汉语水平有限),但每次刷新都会自动更换内容(网页版式布局不变)。还是不良的。真是令人惊讶。


查询相关资料发现,以上是利用"aux、com1、com2、prn、con、nul" 漏洞
Windows 下不能够以下面这些字样来命名文件/文件夹,包括:“aux”“com1”“com2”“prn”“con”和“nul”等,因为这些名字都属于设备名称,等价于一个 DOS 设备,如果我们把文件命名为这些名字,Windows 就会误以为发生重名,所以会提示“不能创建同名的文件”等等。

当然,有一些特殊的方法可以偷机取巧,建立以这些设备名为名的文件夹,比如我们在命令提示符下执行“md C:\aux\\”,就在 C 盘建了一个名叫 aux 的文件夹。此文件夹虽然可以访问,也可以建立子文件夹,但却无法删除,因为 Windows 不允许以这种方式删除设备。在系统看来,这个 aux 文件夹就是设备。那么,如何删除这样的文件/文件夹呢?我们只要按照完整的 UNC 路径格式,就是网上邻居的路径格式,正确输入文件路径及文件名即可。比如要删除 C 盘下的 aux 文件夹,可在命令提示符下执行:rd /s \\.\C:\aux,rd 是命令提示符删除文件夹的命令,/s 参数表示从所有子目录删除指定文件。再比如要删除 C 盘 temp 文件夹下的 nul.exe 文件,在命令提示符下执行:del \\.\C:\temp\nul.exe 即可。

在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹,让木马可以躲在那里而不被发现。

在服务器中 修改文件夹选项 – 查看 -隐藏受保护的操作系统文件[取消勾选] 即可查看此类文件属性均为RHSA系统文件且无法删除修改移动,
那么如何彻底删除这些文件呢,首先打开运行cmd,输入以下命令
rmdir   \\.\D:\wwwroot\test\wwwroot   /s   /q
注:D:\wwwroot\test\wwwroot  为你的网站所在目录(替换即可);在执行以上命令前,将需要备份的网站程序移动到其他目录下;
以上命令运行1-2次即可彻底删除这些文件;另请注意修补网站漏洞,一般为后门为 aux.asp;aux.jpg 上传漏洞。
这个方法比较土点,效果也有,但是站点运行总不能停止,另外方法就是通过工具来处理这类问题。
删除方法如下:
第一步:进入服务器,打开工具>文件夹选项>查看>"隐藏受保护的操作系统文件(推荐)",去掉其前边的钩,选中"显示所有文件和文件夹" 。

看木马文件的创建时间,通过搜索找出与其同时创建的文件。

第二步:下载Unlocker或者暴力删除文件工具,将这些文件删除。

方法三是最简单也是最方便的,通过命令删除:

del /f /a /q \\?\%1
rd /s /q \\?\%1

把上面的命令保存为.bat后缀名称的文件,然后把不能删除的文件或者文件夹拖到bat文件上就可以。


以上仅供参考,服务器操作时请慎重.

文章来自: www.hxhack.com
引用通告: 查看所有引用 | 我要引用此文章
Tags: aux com1 com2 com9 prn con nul 挂马
相关日志:
评论: 0 | 引用: 0 | 查看次数: 4983
发表评论
昵 称:
密 码: 游客发言不需要密码.
内 容:
验证码: 验证码
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.
字数限制 1000 字 | UBB代码 开启 | [img]标签 关闭