最近出来一种木马,这个木马是以网页形式出现的,主要出现在PHP代码的网站上面,他的主要现象是服务器的网络利用率很高,把你的带宽给耗尽导致服务器无法连接,从流量图上看所有的流量都是从服务器上发出去的,在IIS管理器里面把PHP组建禁止掉,服务器马上恢复正常了,从这里可以看出绝对是中PHP木马了. 如下图关闭组建. 既然发现问题所在了,那么我们现在就来开始把木马代码页找出来,首先我们需要下载一个代码编辑工具,然后利用它的查找功能,搜索所有的PHP网页文件.下图. 这个软件的名字叫<UltraEdit>我们可以去找个下来用,打开后搜索fp = fsockopen("udp://$host", $port, $errno, $errstr 这样的代码,如下图. 开始搜索后,我们稍等一会,如下图看到搜索结果了,然后我们再把这写恶意代码文件删除掉就可以了.如下图. |