如何查找PHPddos木马并且删除它！

administrator

大家都知道，织梦旧版的漏洞导致PHPddos木马肆虐，好多服务器商为了避免麻烦，就把服务器的fsopen函数关闭了，这一下子可乱套了，织梦不能采集图片文件到本地，discuz的通信不能成功，uc不能整合，云服务不能开启等等 等等……


这里教给大家如何在服务器快速删除查找这个木马


1.打开 C:\WINDOWS\system32\LogFiles\HTTPERR  打开最新的日志文档，全文搜索port这个关键词，找到类似的语句：

2012-02-18 23:34:57 121.14.153.107 1204 120.72.38.176 80 HTTP/1.1 GET /plus/task/system.php?host=122.224.11.119&port=80&time=600 - 749 Connection_Abandoned_By_AppPool 3_FreeHost_4


/plus/task/system.php  这里的文件就是这个木马文件！

2.找到这个程序池名称，程序池的名称为上面语句的最后一句，找到里面的文件之后，删除就可以

3.升级程序，并且设置好一些目录的权限，比如plus之类的文件的写入权限关闭！