服务器被入侵，文件被锁定隐藏无法查看,无法替换修改解决方法

现象:

可以通过url访问到非法内容，例如：www.xxxx.com/xxx.asp，但到网站根目录下查看不到该文件,目录并未设置隐藏，在“文件夹选择”中也设置了显示隐藏文件和取消了隐藏受保护操作系统文件，但目录下依然看不到文件，但是复制同名文件到目录又提示要覆盖，并且实际无法成功覆盖。以上遇到的这种问题，很有可能是被黑客安装了Easy file locker应用软件锁定隐藏了挂马文件，程序卸载功能里面可以看到安装的应用，但是无法卸载，有密码保护。

服务器被入侵，文件被锁定隐藏无法查看,无法替换修改解决方法

可以按以下方法操作：

打开cmd命令行，输入以下命令：

1、查询服务状态： sc qc xlkfs

2、停止服务： net stop xlkfs

3、删除服务： sc delete xlkfs

4、然后到对应目录去删除文件

c:\WINDOWS\xlkfs.dat

c:\WINDOWS\xlkfs.dll

c:\WINDOWS\xlkfs.ini (这是配置文件，此文件先复制保留一份，这样就可以直接查看到是那些目录或者文件设置了保护，这些被设置的目录或者文件都是有问题的)

c:\WINDOWS\system32\drivers\xlkfs.sys

服务器被入侵，文件被锁定隐藏无法查看,无法替换修改解决方法服务器被入侵，文件被锁定隐藏无法查看,无法替换修改解决方法

由于软件是有密码的，无法直接卸载，这时候就需要进一步处理。找到删除user.dat文件，路径是：

C:\Documents and Settings\All Users\Documents\EFL\user.dat

或者

C:\USERS\PUBLIC\DOCUMENTS\EFL\user.dat

然后重新下载安装一次Easy file locker，这样密码会被覆盖，就完成卸载。

这种系统被入侵会存在很大的安全风险，可能还会有其他后门，要及时修改下服务器密码，用杀毒软件全盘扫描一次，最好重装一次系统。

另外一种可能是iis挂马，文件确实不存在，但是访问请求会被跳转，这种可能就是iis模块被挂马，可以参考：谨防IIS模块挂马

另外文件无法修改或者查看到，可能是被添加了特殊属性，可以参考：windows系统网站挂马被黑，文件属性被篡改添加了RSH特殊属性的解决办法

linux服务器文件无法修改可以参考：

Linux文件保护禁止修改、删除、移动文件等,使用chattr +i保护

linux下rm无法删除文件，提示Permission denied没有权限