如何搜索木马隐藏的系统文件（downmoon原创）

最近服务器老是在木马出没，网管查了又查，杀了又来，今天决定亲自认真查一下，很快，在服务器上找到一个aspxSpy，还是1.1版本的，在网上搜索下，在作者主页，版本为2.0,看到如下说明：
1.开发环境VS2008 + C#，兼容FrameWork1.1/2.0，基本实现代码分离。
2.密码为32位MD5加密(小写) 默认为 admin.
3.全部采用POST方式提交数据，增强了隐蔽性。
4.增强了IIS探测功能，遍历IIS站点信息，绝对路径，多域名绑定，以及IIS账号密码。
5.增加了对指定文件的搜索功能。
6.修正了一些数据库操作的BUG。
7.增强了对注册表的读取，此部分由***完成，在此感谢。
8.修正了对端口的多线程扫描
9.增强了端口转发功能，参考了***的一些代码，在此感谢。

免责声明：此工具为安全检测工具，任何人使用此工具，做违法国家法律的事情，责任自负！
应该说，代码写的不赖，试用了下，果然破坏性相当恶劣，能上传文件，设置上传文件为RSHA,即系统隐藏文件，一般管理员搜索不出来，还有一些功能…………。
当然，对于有经验的windows管理员，比如像我(^_^)来说，是比较好办的，首先,重命名cmd文件，
再用改名过的CMD文件运行

cd c:\myweb
rem 存放网站的目录
c:
dir /S *.aspx /ah 　
rem 可以是其他任意后缀名的文件，比如asp，jsp等等。

可以搜索出隐藏系统文件了吧？

文件太多，怎么办？
修改一下最后一行命令

dir /S *.aspx /ah >> e:\20090820.txt
rem　将搜索结果保存到 e:\20090820.txt。
rem 其中>>为DOS为管道命令，我是在1994年了解这个命令的，那时候还是MSDOS 3.3和PSDOS　9.0并存的时代。呵呵。

搜索出文件，再进一步查下，是ftp的漏洞，还是iis,还是程序本身，或者外部组件（比如FCKeditor等）。当然，可能是内部出现问题，…………

继续跟踪木马中………………