服务器下WINNT无法删除lpt8.asp.asp

一般遇到lpt1.css.asp或com8.index.asp这类文件，都是黑客利用系统保留文件名创建的一些webshell。在Windows下不能以如下字样来命名文件或文件夹：

一般遇到lpt1.css.asp或com8.index.asp这类文件，都是黑客利用系统保留文件名创建的一些webshell。在Windows下不能以如下字样来命名文件或文件夹：

aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
但是可以通过cmd的copy命令实现：

D:\wwwroot>copy rootkit.asp \\.\D:\wwwroot\lpt6.80sec.asp    前面必须有 \\.\
已复制         1 个文件。
D:\wwwroot>dir

2010-04-25 14:41   

          .
2010-04-25 14:41   

          ..
2010-03-08 22:50            42,756 aux.asp
2005-05-02 03:02             9,083 index.asp
2010-03-08 22:50            42,756 rootkit.asp

这类文件无法在图形界面删除，只能在命令行下删除：
D:\wwwroot>del \\.\D:\wwwroot\lpt6.80sec.asp
然而在IIS中，这种文件又是可以解析成功的。Webshell中的 "不死僵尸" 原理就在这。

删除其目录的方法：

删除：在命令提示符下输入：rd x:\你的文件夹名..\ /s /q，回车即可

比如：D:\wwwroot>rd /s D:\wwwroot

网站根目录出现了“隐藏的”“”属性被修改成了[RHSA属性]或其他属性“，怎么删除也删除不了，文件粉碎机也删不了，也不能重命名和移动文件

名称假定为：lpt9.css.asp

 

 

处理方式：（把下面2行复制到空白文本，另存为1.bat）

DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1 

 

然后将lpt9.css.asp拖动到1.bat，即可