一般遇到lpt1.css.asp或com8.index.asp这类文件,都是黑客利用系统保留文件名创建的一些webshell。在Windows下不能以如下字样来命名文件或文件夹:
aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
但是可以通过cmd的copy命令实现:
D:wwwroot>copy rootkit.asp .D:wwwrootlpt6.80sec.asp 前面必须有 .
已复制 1 个文件。
D:wwwroot>dir
2010-04-25 14:41
2010-04-25 14:41
..
2010-03-08 22:50 42,756 aux.asp
2005-05-02 03:02 9,083 index.asp
2010-03-08 22:50 42,756 rootkit.asp
这类文件无法在图形界面删除,只能在命令行下删除:
D:wwwroot>del .D:wwwrootlpt6.80sec.asp
然而在IIS中,这种文件又是可以解析成功的。Webshell中的 "不死僵尸" 原理就在这。
删除其目录的方法:
删除:在命令提示符下输入:rd x:你的文件夹名.. /s /q,回车即可
比如:D:wwwroot>rd /s D:wwwroot
