请选择 进入手机版 | 继续访问电脑版
 找回密码
 注册

QQ登录

只需一步,快速开始

青云安全服务中心

搜索
查看: 9460|回复: 0

【青云原创】再遇EFL驱动级入侵及防御方案定制!

[复制链接]
发表于 2018-10-23 12:25:02 | 显示全部楼层 |阅读模式
  昨天刚忙完就收到一个流量很大的网站站长朋友发来的消息,说他网站的web.config被锁了,但根目录内显示所有文件和系统文件都找不到这个文件,网站全部被跳转到博彩类页面,紧急求助,于是就帮朋友一起分析了一下,然后整理成文章供大家一起交流!

  网站内被劫持的现象如下图:
0.png

0a.png

0b.png

0c.png

  情况了解后第一直觉就是文件被加工后通过EFL驱动级隐藏了,然后去验证了一下,果然如此,如下图:

2.png

4.png

1.png

3.png

7.png

8.png

  现在来我们再来了解下这个小软件,EFL全称Easy File Locker是一款国外的大神开发的免费小巧的安全软件,它能保护你的文件、文件夹不被别人轻易打开、阅读、修改、删除、移动、复制,甚至你可以设置让别人根本无法看到它们的存在!这个实用的小软件本身就好像一把刀,利用好了就是把神器,就因为他的方便小巧,再加上国内的站长朋友们安全意识淡薄,这个实用的小软件竟然成为了国内的垃圾黑客用来牟利的利器,搞的遇到这类情况的站长们都很头大,因为他属于驱动级的软件可以设密码,一旦被设置了密码就很难卸载,现在我们就来说下如何通过最简单的方法把他干掉!

  首先下载一个小软件View Service点此可直接下载下载后打开软件,如下图

5.png

  然后我们找到xlkfs这个驱动级服务,右键,停止即可,如下图:


6.png

  然后就发现我们被锁定隐藏的web.config终于回来了.

   9.png

  下一步就可以放心的把这个软件彻底的从服务器上删除了,清除以下路径内的文件即可!
  C:\Program Files\Easy File Locker
  C:\Users\Public\Documents\EFL
  C:\Windows\System32\drivers\xlkfs.sys

  经过深入的分析此次入侵的日志,发现黑客是利用DZ框架内一个插件的漏洞放了木马后门进来,如下图:



10.png

11.png

12.png

13.png

14.png

15.png

16.png

  【防御方案】


  知道黑客是怎么进来的了防御方案的定制自然也就一目了然了,可以通过我们的驱动级防护软件旗云智盾,点此可直接下载来进行网站内脚本文件的保护,然后再通过IP安全策略或第三方软件限制可登录的IP和计算机名即可!



  【再次提醒】网络安全无小事,做为一个自认为已经很资深的站长也会中招,切莫大意!

【青云安全】最新发布:旗云智盾防护专家正式版Ver2.0
http://www.yunsafe.com/thread-43077-1-1.html

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Copyright © 2003-2019 yunsafe.com All Rights Reserved 青云安全 法律顾问:王志刚 ( 豫ICP备19043409号 )

中国 · 郑州 · 中原区 · 万达广场      服务热线:0371-67770077

QQ

 
QQ在线咨询
在线咨询QQ
285584、2998872
售前咨询热线
0371-67770077
快速回复 返回顶部 返回列表