一、先說被掛馬的文件吧。

木馬文件一般會偽裝成正常文件，或者非可執行文件，以達到欺騙的目的。

比方說，偽裝成icon圖標文件。

找到一個偽裝的文件，用編輯器打開，就會發現裏面是源碼。

這種的工作原理大概是，在某一個正常的文件中用include引入這個圖標文件，

然後，文件中的代碼就被不知不覺的跟隨正常的應用文件執行了。

同時，為了達到隱藏的目的，include的代碼也不是顯式的寫的。

例如：@include "\x2fh\x6fm\x65/\x77w\x77r\x6fo\x74/\x64e\x66a\x75l\x74/\x77p

這裏有一點要註意，\xdd這樣的寫法，其中dd是16進制數，用這樣的元字符來代替

相應的字母，以達到隱式拼接路徑的目的。

下面說怎麽查找：

我用的命令是：

grep --color -i -r -n "@include" /home/

其他方法可查看這個鏈接。

這樣就可以在指定位置，比如“/home/”目錄裏查看所有包含“@include”的文件

然後用文本編輯器打開疑似木馬文件的那個文件，看是否是代碼。

如果是，找出其代表性的字符。比如，define的常量。

接下來就用類似上面的步驟，查找出具有相同特征的文件就行了。

二、用Nginx做反向代理

先上代碼：

location / 
{
    proxy_redirect     off;
    proxy_set_header   Host             $host;
    proxy_set_header   X
 
-Real-IP        $remote_addr;
    proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
    if ($remote_addr ~* 255.255.255.0){
        proxy_pass  http://127.0.0.1:8080;
        break;
    }
    proxy_pass  https://www.baidu.com;
}

其中如果是255.255.255.0這個IP來訪問，則跳轉到本地8080端口

前提是要打開並監聽這個端口

如果不是，則跳轉到百度

這裏有一點要註意，if條件裏面，如果包含路徑，要用$request_uri來代替。

同時，如果if中不使用proxy_pass則不會執行if裏面的配置。

也附上鏈接地址。

Linux查找疑似被掛木馬文件方法以及Nginx根據不同IP做不同反向代理