遭遇“小数点”asp文件夹木马
作者:yemoo 来源:yemoo博客 时间:2009-02-21 10:36:00
文章标题写的可能有点容易误解,但不知道取个什么名字比较合适,姑且这个就这标题把,还是来个稍微具体点的描述:今日登入我的VPS,发现一个ASP站点的JS文件和一些ASP文件被植入了iframe木马,汗一个(好在我的服务器上站点都是独立IIS用户权限,不然更惨),google一搜索网站域名,马上看到了“该网站可能含有恶意软件,有可能会危害您的电脑。”一行小字,再汗!这个问题很严重。
莫非网站程序有漏洞?很有可能,这个在网上找个一个垃圾asp程序随便放上去了,正好也没有兴趣了,决定把这个站点直接删掉,我也懒得一个个清除iframe代码了,谁知接下来遇到麻烦了:网站目录删除不掉,也不能移动到其他磁盘,而弹出一个莫名其妙的对话框:这真奇怪了,我还是第一次遇到这样的问题。
没办法直接全部删掉,于是开始一个文件一个文件删除,删了一会发现了一个奇怪的目录删除不掉,名字叫“1.”,突然想到之前在学校时貌似在网上看过有关无法删除的“小数点”文件夹的文章,马上网上查找了相关文章,终于找到了解决办法。
这个小数点文件夹其实是Windows系统存在的一个bug,因为不容易被删除而且很隐蔽,因此经常为一些入侵者利用存放一些木马之类的文件。虽然我们不能像删除普通文件一样删除这种文件夹,但总归有删除办法的。懂得了这种文件的创建原理,删除自然就好办了。有关该原理的介绍具体可以看《建一个别人进不了删不掉的绝密文件夹》这篇文章。
删除办法为:在CMD下通过rd命令+文件名+"./"来删除,如果文件夹下有文件需要先删掉内部的文件(一般为木马文件),那么如何进入这个文件夹呢?可以通过“start+目录的绝对路径”命令进入,如:start d:\web\sites\1..\。
仔细看了下我的那个站点,居然被建了三个这样的文件夹,每个文件中放了一个asp木马,这人真强悍,不过这个网站从此就消失了,那位高人对不住了。一点小心得,记录备忘。