今天中午同事小张打来电话说公司供货平台网站首页打开时会弹出QQ中奖等乱七八糟的广告，而且网站的无法点击购买了商品了。我想肯定是网站被入侵了，才会被植入恶意广告代码。到工商后我打开查看供货平台网站，右下角弹出一个QQ中奖广告，外加一个弹窗广告，很明显网站被人篡改过了。登陆服务器，找到ECShop的安装目录，按时间排一下顺序，很快找到一只PHP木马，把它打包先收藏了。然后检查首页代码，有好多段Script，链接到一些JS文件。打开JS文件夹，按时间排序，最后一个是common.js，我打开检查了一下，的确链接到了一个网址，并且网址被URL编码了。所以一定有问题了，不加思索就把它删了。还有个问题就是网站里点“立即购买”没反应，状态栏显示网页有错误。我起先认为是ECShop的内核文件被修改过，所以马上打电话给网新的人让他们检查处理，结果他告诉我说这个网站他们已经不管了。没办法，打算自己检查修正。本来下午不打算弄的，因为身体不舒服想挂盐水，不过去楼下的社区卫生服务点，医生检查后说有点热度但不让挂。其实我想挂点滴是想让我的咽喉尽快好一些，这几天疼得厉害，这个星期天要参加事业单位的面试。

　　那也好，我打算下午把网站的事弄好，然后晚上去医院挂。其实已经想到了，那个错误是因为某个JS文件没有起作用导致的。实践证明我的猜想是正确的，被删的common.js是正常文件，只是被入侵者修改而已。原来以为要大动干戈一个个检查文件，现在只把那个还原就OK了。Google一下，发现ECShop的确有漏洞，2.7.1和2.7.2都有，检查版本为2.7.1，补上。再对系统做了一些安全设置，就算完成了。

　　其实以上的你可以不看，我只想把某天自己的经历写一下而已。本文真正想写的是那个PHP木马，上面已经说了收获了一只免杀的PHP木马，至少经我测试最新病毒库的NOD32和Mcafee都没有检查出来，而这个PHP木马并没有加密。 名叫SPS(Spider PHP Shell)v1.0（如下图），网上一搜还有3.0版本的，还有去后门版的， 懒得管了，是免杀的就是好马！提供我捉到的Spider PHP Shell v1.0下载，有没有后门大家自己检测吧！我实在太忙没有时间。喜欢的下载去研究研究：

　　免杀PHP木马点击下载

　　忘记说了，木马的登陆用户名和密码是：admin和admin。