0X01 情况描述

直接打开网站网址发现有一闪而过的“博彩”页面，burpsuite抓包可发现博彩的网页代码。之后调到xxx.com/index.htm主页。
访问xxx.com/index.htm 则不会出现博彩网页。
其次，主页部分显示出错，初步断定是JS的问题。

0X02 初步分析

在网站的/untils/conn文件夹发现两万多个博彩页面，进行删除。情况依旧存在。
下载程序源码，对比了web.config的内容，进行恢复之后，抓不到“博彩”页面的数据包了，但是，依旧存在一闪而过的“博彩”页面。根目录也没有其他文件。
询问大牛，查看相关资料找到了问题所在。
资料地址： http://lcx.cc/?i=2416

0X03 确定原因

根据资料所写，找到了四个相关文件：

c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys

通过这四个文件，实现了对挂黑链文件的驱动级隐藏。
在服务器C:\windows\目录发现三个文件，

查看xlkfs.ini

这三个文件即为产生跳转功能的网页文件。

0X04 处理过程

首先删除上述四个文件（删除之前，记录xlkfs.ini）
重启服务器，再查看网站根目录，发现隐藏的三个文件出现了，删除，清理缓存即可。
PS：相关文件请查看附件。

0X05 原因分析&总结

网站架构为 WIN2008+IIS7.5+ASPX+ACCESS 可以很简单的拿到shell，但是各种提权姿势无果。推测唯一一种可能就是3389爆破。密码有规律，是新开服务器的默认密码。
通过资料得知，此手法为五六年前流行的挂黑链方式。具体操作请查看所给的资料链接。

转载自：http://izilong.net/index.php/archives/889/