一般遇到lpt1.css.asp或com8.index.asp这类文件,都是黑客利用系统保留文件名创建的一些webshell。在Windows下不能以如下字样来命名文件或文件夹:
aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
但是可以通过cmd的copy命令实现:
D:\wwwroot>copy rootkit.asp \\.\D:\wwwroot\lpt6.80sec.asp 前面必须有 \\.\
已复制 1 个文件。
D:\wwwroot>dir
2010-04-25 14:41 <DIR> .
2010-04-25 14:41 <DIR> ..
2010-03-08 22:50 42,756 aux.asp
2005-05-02 03:02 9,083 index.asp
2010-03-08 22:50 42,756 rootkit.asp
这类文件无法在图形界面删除,只能在命令行下删除:
D:\wwwroot>del \\.\D:\wwwroot\lpt6.80sec.asp
然而在IIS中,这种文件又是可以解析成功的。Webshell中的 "不死僵尸" 原理就在这。
删除其目录的方法:
删除:在命令提示符下输入:rd x:\你的文件夹名..\ /s /q,回车即可
比如:D:\wwwroot>rd /s D:\wwwroot