黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

各种隐藏WebShell,黑帽SEO作弊

  本文將全麵講述各種躲藏 WebShell、创立、删除畸形目錄、特殊文件名的辦法,應该是網上最全、最细緻的瞭……

  另外,再大约说一下各種黑帽SEO作弊辦法,以協助廣阔站長、管理员徹底清算這些文件……

  阐明,以下操作均以“Windows Server 2003 SP2”做示範,其他係统请自行以此類推。

  说到躲藏 WebShell 的辦法,從最初的包含圖片(#include 各种隐藏WebShell file=”a.jpg”)、设置文件躲藏屬性(Fso 组件能够做到,完整支持),再到较早的畸形目錄、特殊文件名(兩年前開端盛行),或者兩者分離運用(例如:c:\a.\aux.txt),直到如今的驱動级躲藏(大约一年半前開端盛行),這些小黑客们也算是有一點進步吧……

  先掃盲,提高一下相關學问:

  畸形目錄:

  目錄名中存在一個或多個 . (點、英文句號)

  特殊文件名:

  其實是係统设備名,這是 Windows 係统保存的文件名,普通辦法無法访问,主要有:lpt,aux,com1-9,prn,nul,con,例如:lpt.txt、com1.txt

  驱動级躲藏:

  由于這些小黑客们都没有纔能编寫驱動,所以主要是藉助一些第三方软黑帽SEO作弊件停止躲藏,例如:Easy File Locker 1.3,往常很盛行,底下會细緻講。

  其他辦法:

  循環锁定文件,一兩年前曾经很火爆,首先弄一個非木馬脚本(不會被殺),隻要简單的文件读寫功用,然後在一個24小時運转的效勞器上,運用程序每隔一秒懇求一次该脚本,该脚本每次執行時會检查目的文件(某個掛馬或者黑帽SEO的文件)的大小以及屬性能否正確,假如不是,那麼就删除,然後重寫,在设置屬性,從而到達“文件锁定”的目的,该辦法普通和畸形目錄+特殊文件名配閤運用。

  另類辦法:

  Aspx 能够翻開文件,但不關闭句柄,在此期间该文件就無法删除或修正,有效期直到下次IIS或效勞重视啟。

  假如無法提權,但是支持低權限運转程序,那就能够寫一個简單的程序传上去,低權限锁定文件,直到该進程完畢或效勞重视啟,锁定辦法能够參考上邊的,例如循環監视锁定,或者文件句柄……

  以上這些躲藏辦法,往常曾经被大量應用到黑帽 Seo、掛馬、關键词優化等非法活動中瞭,各大站長、管理员深受其害……

  畸形目錄、特殊文件名的创立、删除辦法都很简單:

  畸形目錄:

  隻需求记住將一個點换成兩個點就行瞭,例如:

  创立一個“a..”目錄:md c:\a..\,實践顯现爲:c:\a.\,普通辦法無法访问,以此類推,也能够爲多個點……

  删除的辦法也一樣:rd /s /q c:\a..\

  特殊文件名:

  略微復雜點,普通的途径访问是無法访问的,需求用這種方式的途径:\\.\c:\aux.txt 或 \\?\c:\aux.txt 或 \\计算機名\c:\aux.txt(網上鄰居方式的途径),例如:

  创立一個文件:echo hello>\\.\c:\aux.txt

  读取该文件内容:type \\.\c:\aux.txt

  删除该文件:del /f /q /a \\.\c:\com1.txt

  很简單,是吧,好的,如今我们應戰更復雜一點的……

  畸形目錄 + 特殊文件名:

  创立:

  md c:\a..\

  echo hello>\\.\c:\a..\aux.txt

  读取:

  type \\.\c:\a..\aux.txt

  删除的辦法曾经不能用方纔的瞭,需求這樣:

  rd /s /q \\.\c:\a..\

  (還有些其他的特殊途径,能够參考:帶點文件夾的创立與删除、【技巧】名字帶“\”文件夾的创立與删除 )

  很好,如今,你曾经學會瞭如何處置這種目錄、文件瞭,以上的操作,Asp 運用 Fso 组件完整能够做到,完整支持這種途径,也就是说普通的 WebShell 權限就能够完成瞭……

  \(^o^)/

  至于“其他辦法”和“另類辦法”的清算就比擬简單瞭,例如:

  其他辦法:

  找齣可疑脚本,然後删除即可,能够搜索關键词,例如 Asp 中的:FSO、FileSystemObject、OpenTextFile、CreateTextFile、CopyFile、DeleteFile、.Write 等……

  其實最简單的辦法是查看IIS日志,看那個文件被频繁大量懇求,然後找齣该文件,然後你懂的……

  此辦法经常配閤畸形目錄、特殊文件名、包含圖片等分離運用,運用方纔講過的辦法清算即可。

  另類辦法:

  比擬简單瞭,找齣可疑進程,最明顯的是用户名是IIS的账户,完畢掉,然後删除该文件。

  最後重啟 IIS 即可,各種锁定文件句柄的辦法通通會失效,或者痛快重啟效勞器。

  再提一下,普通,一個有價值的網站,他们不會隨便放棄的,會留下一堆後門,各種文件中插入一句话,保存原來的破绽或者人爲的製造一個破绽,即便一切後門都被清算,照舊能够拿下!

  而且還會定期检查,有人還運用软件24小時監控掛馬的頁麵,每秒一次,發现不存在某個關键词就報警,然後攻擊者就上去恢復,這也是爲什麼删瞭又會呈现,删不洁净的缘由……

  假如曾经遭到提權的话,係统可能曾经中瞭一堆木馬,各種“粘滯键後門”、“放大键後門”、“Win+U後門”、“躲藏、剋隆账户”、“觸發式後門”等……

  所以,你事後需求要全麵检查下係统瞭,不要遗忘检查殺毒软件的白名單,你懂的……

  停止這些操作,我自己引薦運用手工殺毒工具“PowerTool v4.2”、“XueTr v0.45”,在文章的最後我會寫上官方下载地址。

  運用這兩個软件要留意下,牠们運用的驱動兼容性很差,有比擬大的幾率會形成係统蓝屏,所以假如您的機器不支持在线重啟的话,您可要衡量好再用,希望他们以後的版本能改良下……

  说到驱動躲藏,最典型的现象就是係统盤及係统目錄中存在以下文件:

  c:\Program Files\Easy File Locker

  c:\Program Files\Easy File Locker\FileLocker.exe

  c:\Program Files\Easy File Locker莌t.exe

  c:\Documents and Settings\Administrator\桌麵\Easy File Locker.lnk

  c:\Documents and Settings\Administrator\「開端」菜單\程序\Easy File Locker

  c:\Documents and Settings\Administrator\「開端」菜單\程序\Easy File Locker\Easy File Locker.lnk

  c:\Documents and Settings\Administrator\「開端」菜單\程序\Easy File Locker\Uninstall.lnk

  ↑ 以上文件十有八九已被攻擊者删除(管理员想破腦袋,都不晓得怎嘛迴事),但以下文件是绝對存在的! ↓

  c:\WINDOWS\xlkfs.dat

  c:\WINDOWS\xlkfs.dll

  c:\WINDOWS\xlkfs.ini

  c:\WINDOWS\system32\drivers\xlkfs.sys

  该软件名字叫:Easy File Locker,普通用 Easy File Locker 1.3,或着是其牠版本,你能够搜一下,網上一堆……

  功用很简單,简單的驱動躲藏文件(简單的 C、C++ 就能够完成,網上大量源码),支持單個文件或者整個目錄。

  支持设置访问權限,屬性爲:可读/可访问(Accessible)、可寫(Writable)、可删除(Deletable)、可見(Visible)

  普通做黑链的小朋友都會這樣设置:隻勾選可读,其他的一概迴绝……

  那麼,會有這樣的效果,该文件不會顯现,不能经過列目錄列齣來,也不能删除,除非你晓得完好途径,你纔能够读取文件内容。

  這也是爲什麼各位管理员頭疼的中央瞭,愣是找不到文件,但是直接访问網站却是能够執行的……

  ╮(╯_╰)╭

  并且该软件還能够设置密码,啟動、修正设置、卸载及反復裝置的時分都需求密码,更蛋疼的是,主界麵、卸载程序等都能够删除,隻留下中心的驱動文件就行瞭……

  能够做到無進程、無啟動项,無任何異常,由于隻加载瞭一個驱動……

  這也是很多管理员想破頭都不晓得怎吗迴事的缘由……

  说完他的原理、特性,我们再講講肅清牠的辦法(不论有没有密码):

  首先设置係统“顯现躲藏文件”,步骤如下:

  1、隨意翻開一個文件夾、磁盤

  2、在文件阅读窗口,依次點擊:工具(顶部菜單) –> 文件夾選项 –> 查看(顶部選项卡)

  3、依次勾選或點選,设置:躲藏受维護的操作係统文件(不勾選)、顯现一切文件和文件夾(選中)、躲藏已知文件類型的擴展名(不勾選),然後點擊肯定按钮。

  提示,假如無法正常選中,例如復選框爲灰色、不可操作、勾選無效等现象,阐明對應的註册錶项已被毁壞,能够運用以下註册錶代码停止修復:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

  ”CheckedValue”=dword:00000001

  將以上代码保管爲:Fix_Hide_File.Reg(修復躲藏文件),然後雙擊導入註册錶即可。

  然後以文本方式能够翻開:C:\WINDOWS\xlkfs.ini,這是“Easy File Locker”的配置文件,不齣所料的话,你能够看到牠的配置信息……

  (呵呵,或许會有朋友會问,假如他们连這個文件都躲藏瞭的话怎樣辦?很遗憾,该软件不支持躲藏本身的配置文件……)

  内容例如:

  [Common]

  Count=4

  [0]

  Path=C:\a.txt

  Type=0

  Access=14

  [1]

  Path=C:\b.txt

  Type=0

  Access=14

  [2]

  Path=C:\c.txt

  Type=0

  Access=14

  [3]

  Path=C:\d.txt

  Type=0

  Access=14

  文件、文件夾的途径、设置的權限等一览無餘……

  留意!!這裏记得要把這個文件復製一份單獨留着,等會兒清算被躲藏文件的時分要用到!!切记!!!!

  然後删除上邊所列的一切文件,特彆是係统目錄中的那四個文件,假如無法删除能够思索運用第三方工具强删,然後重啟係统。

  係统啟動後會提示:至少有一個效勞或驱動程序無法加载或错误。

  這是由于我们删除瞭那個驱動文件,但是驱動加载项還在,所以會提示加载错误,不理即可。

  進入係统後,你會發现躲藏的文件全都迴來瞭,那麼,就简單多瞭,對照你先前備份的那個配置文件,挨個清算即可……

  (假如要徹底肅清密码,隻需求重裝该软件,此時不會提示有密码,再卸载即可……)

  最後,再检查下殺毒软件白名單中的内容(參考上邊的内容停止全麵检查,上邊说過不再反復),你懂的……

  最後再简單的说说黑帽SEO作弊的辦法,便當廣阔站長清算對應的文件。

  普通都是劫持百度蜘蛛,很早之前,是在你網站單獨放一個脚本文件,该脚本會遠程调用攻擊者的效勞器數據,然後動態顯现各種頁麵,也有少數是把數據库放在你網站,或者痛快生成静態的頁麵。

  然後在你網站的首頁(或其他高權重網站)放置一個指嚮该文件的链接(躲藏的),然後下次蜘蛛抓取的時分,自然會爬嚮该文件,從而抓取一堆攻擊者的预先避免好的數據(通常是生成的渣滓文章堆砌關键词),假如你網站權重够高的话,那麼這些關键词會排到较好的位置,從而给攻擊者帶來宏大的流量,以及很好的经濟效益……

  (權重:網站的權威性和重要性,相當于穀歌的PR值,是百度對網站评價的一個打分,網站權重越高,那麼排名越高、收錄越快、越多。)

  简單地说,就是在你的網站中生成瞭一個“小網站”,蜘蛛抓取後,自然會以爲是你網站的内容,會依照你網站的權重给于相應的排名。

  當有人從百度或者其他搜索引擎點進來的時分,那些脚本會判彆來路“Referer: http://www.baidu.com/”,或者直接跳转到攻擊者的總頁麵,從而停止跳转或掛馬操作。

  當给很多個高權重網站反復以上操作以後,帶來的流量就相當可觀瞭,相當于養瞭一個高權重站群!

  而普通政府(gov)、教育(edu)等機構的網站權重都比擬高,這也是爲什麼各路人馬都在喊:高價收買政府站、教育站。

  這種做法,大约是兩三年前的做法,後來做的太猖獗瞭,百度停止瞭改版,修正瞭抓取算法。

  招緻结果是,他们的數據仍然是抓取的,但是會在半個月或者一個月後纔放齣來快照,然後纔给于排名,這大大的影響瞭黑帽SEO行業,于是新的做法呈现瞭:全局劫持!

  什麼叫全局劫持?由于百度短時间内不會收錄忽然冒齣來的新链接,所以小黑客们就想到瞭新的招數:應用網站原有頁麵停止作弊……

  So,邪噁的東西來瞭:Global.asa、Global.asax,實践上這個辦法在很多年前掛馬的時分就應用到瞭。

  這兩個文件是 Asp 和 Aspx 獨有的特殊文件,作用是在每次執行一個動態脚本的時分,都會先加载该脚本,然後再執行目的脚本。

  (该文件還能够停止简單的文件锁定,由于每次都先執行嘛,所以能够每次都判彆一次某個文件狀態,然後停止某些操作,和上邊的循環監视锁定的效果是一樣的。)

  (實践上不一定非要寫這倆文件,例如:conn.asp、conn.php 等被大量脚本包含的通用文件都能够,效果是一樣的,而且比這個荫蔽多瞭……)

  關于這個文件详细的细節就不说瞭,不然又是個長篇大论,想理解的能够去搜搜,或者參考:http://baike.baidu.com/view/673542.htm

  所以效果就來瞭,既然執行每個脚本的時分都會先執行该文件,小黑客们就想到瞭劫持蜘蛛的辦法,在 Global.asa 中寫判彆用户係统信息的代码(User-Agent: Mozilla/5.0),然後判彆能否是蜘蛛、來路是什麼等信息……

  假如是蜘蛛來访,那麼就會输齣SEO作弊用的關键词,否则就顯现正常頁麵,假如你網站更新频率很高的话,那麼简直是刚掛上關键词就收錄瞭,就來量瞭,很快。

  假如用户來路信息爲搜索引擎,那麼就跳转到攻擊者的頁麵,否则顯现正常頁麵。

  最後形成的影響就是,例如百度:site:lcx.cc,一切原有頁麵快照都變成瞭攻擊者的關键词(最典型的就是首頁瞭,由于首頁快照更新週期短、频率高,而且權重高),然後你點進去就會跳转到另外一個頁麵(攻擊者掛馬的頁麵)……

  假如你不是從百度等搜索引擎點進去的,而是直接访问该網站,那是不會有任何異常现象的,所以该辦法比擬荫蔽……

  前幾個月新闻媒體猖獗報道的“某某政府網站快照是色情網站、六閤彩”等新闻,就是由于這樣……

  而该辦法有個很嚴重的结果,刚開端SEO作弊帶來的访问量很大,然後快照越來越少,最後被K光瞭,對被掛的網站影響很大,根本是毁瞭……

  往常的SEO作弊辦法略有改良,但萬變不離其中,高權重網站是必不可少的,修正你網站文件、劫持百度蜘蛛是必不可少的,這裏隻是略提一下,實践上要復雜得多……

  這篇文章根本上算是寫完瞭,各位站長、管理员晓得瞭原理,就能够有的放矢瞭……

  最後提供各種提到的软件下载:

  (以下地址均爲官方網站,可放心下载!)

  XueTr v0.45:http://www.xuetr.com/、http://t.qq.com/linxer

  PowerTool v4.2:http://hi.baidu.com/ithurricane/blog、http://t.qq.com/powertool

  Easy File Locker 1.3:http://www.xoslab.com/

  PS:

  不要问我爲什麼很理解這些東西,详细缘由你懂的,我很多年前就涉足此行業瞭,也算是行業中的领頭羊瞭。

  當時SEO作弊、黑帽SEO很火爆也很暴力,很猖獗也很赚钱,那個時分做的人根本都赚疯瞭,一天幾萬那隻能说你做得太小瞭,當然,當時的技術如今曾经全民化瞭,隨意一個小黑客都能做瞭,不赚钱瞭,也不好做瞭……

  以上這些文件躲藏、锁定以及市麵上一切盛行的SEO作弊辦法,全部都是那個時分的人们“研發”的……

  想當年,各種游戲箱子、全套游戲馬通通掛,各種彩票、赌博站、六閤彩,相互暴力攻擊、各種黑吃黑、最後逼的百度修正抓取算法,百度新齣的“该站可能已被入侵”這個提示,就是由于這個行業……

  就拿黑吃黑來说,直接入侵對方掛好的站,强行换成本人的文件,然後暴力锁定,把對手踢進來,连续幾個徹夜不睡覺,抢站,都是很正常的……

  爲什麼抢站?這還用问???流量就是钱啊,掛幾個小時就是幾韆,猖獗的抢,人都疯瞭,你要一天24小時盯着本人站看被抢没……

  一些地域以至還呈现瞭職業抢站團隊,本人不做站,專抢他人掛好的站,把很多没實力的人都“抢死瞭”,太猖獗瞭……

  碰到拿不下的站,就猖獗DDOS,往死裏打!

  是的,你猜的没错,著名的電磁風暴便是自己在那個是時期開發的,人挡殺人,佛挡殺佛,神挡屠神!鐵蹄踏過,一片焦土!谁敢對抗,滅谁!

  還记得當年闲暇時间,没事無聊跑去攻擊大型網络游戲、對戰平臺的機房、效勞器,形成全區掉线,以此取樂,一掷韆金,當時人都疯瞭……

  這個软件徹底改動瞭互聯網的命運,刷新瞭DDOS的歷史,徹底改動瞭DDOS的传统形式,掀起瞭一场DDOS技術反動,以此原型所滋生的软件不可勝數,不斷火爆至今……

  另外一些没有攻擊纔能的人,就會運用各種手腕查找该網站管理员的聯络方式,使盡浑身解數聯络并告發给该管理员,管理员就會上效勞器清算掉,不讓我赚钱,你也彆想赚钱!!!

  太猖獗、太變態、太暴力瞭,着實印證瞭那句话,走在世界最前端的人,不是天纔,就是疯子!……

  往常,我曾经不接觸黑產瞭,于是我把牠寫瞭齣來,這裏隻是简單的提瞭一下,實践上比這猖獗的多,按我如今的规範來说的话,這些辦法真實是太群眾化瞭,太低级瞭,早已過時瞭……

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » 各种隐藏WebShell,黑帽SEO作弊
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜