HanDs
管理员

记一次清除驱动级隐藏JS挂黑链的处理过程 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

0X00 起因

某政府站被挂黑链清除不近,经过一番破折,终于发现其中猥琐挂黑链思路,可谓之变态

,虽然是五六年前的技术,但是思路值得引荐。  本文以下由我们团队zilong童鞋叙述。分析蛮到位,发出来与君共享。

 

0X01 情况描述

直接打开网站网址发现有一闪而过的“博彩”页面,burpsuite抓包可发现博彩的网页代码。之后调到xxx.com/index.htm主页。

访问xxx.com/index.htm 则不会出现博彩网页。

其次,主页部分显示出错,初步断定是JS的问题。

0X02 初步分析

在网站的/untils/conn文件夹发现两万多个博彩页面,进行删除。情况依旧存在。

下载程序源码,对比了web.config的内容,进行恢复之后,抓不到“博彩”页面的数据包了,但是,依旧存在一闪而过的“博彩”页面。根目录也没有其他文件。

询问大牛,查看相关资料找到了问题所在。

资料地址: http://lcx.cc/?i=2416

0X03 确定原因

根据资料所写,找到了四个相关文件:

c:\WINDOWS\xlkfs.dat

c:\WINDOWS\xlkfs.dll

c:\WINDOWS\xlkfs.ini

c:\WINDOWS\system32\drivers\xlkfs.sys

 

通过这四个文件,实现了对挂黑链文件的驱动级隐藏。

 

在服务器C:\windows\目录发现三个文件,

 

查看xlkfs.ini

heilian

这三个文件即为产生跳转功能的网页文件。

0X04 处理过程

首先删除上述四个文件(删除之前,记录xlkfs.ini

重启服务器,再查看网站根目录,发现隐藏的三个文件出现了,删除,清理缓存即可。

0X05 原因分析&总结

网站架构为 WIN2008+IIS7.5+ASPX+ACCESS 可以很简单的拿到shell,但是各种提权姿势无果。推测唯一一种可能就是3389爆破。密码有规律,是新开服务器的默认密码。
通过资料得知,此手法为五六年前流行的挂黑链方式。具体操作请查看所给的资料链接。


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
一次 清除 驱动 隐藏 J S 处理 过程
#1楼
发帖时间:2016-8-8   |   查看数:0   |   回复数:0
游客组
快速回复