1.服务器被黑后，第一要做的是，开发的系统都先暂时关闭，系统账户密码都修改一遍，请改之前还要检查服务器是否存在木马等。以免被黑客给你Get Hash(通过某种手段获取系统密码的hash值并进行破解得出明文密码)或明文(那你白干了，黑客笑嘻嘻，心想你个傻鸟我再监听你呢!

　　2.检查系统是否有多余的账户，一般有手工和工具检查，小编这里指谈思路，具体要做你自己去实现，比如可以查C：Documents and Settings这里，要是创建新账户登录3389后悔在这里生成和账户名对应的文件夹，哪怕是神马带$的隐藏账户，还有注册表里也要好好检查，不懂就百度吧。

　　3.检查系统开放的端口，自己熟悉的端口就先不管，有陌生的就要查一下，到底是什么程序再使用，有时候可以检查出木马或者后门使用的端口，把没必要的端口都关闭了，避免意外事故

　　4.检查日志，菜鸟级别的黑客一般没办法清理掉一些日志，可以好好看看，比如IIS，WEB系统自带的日志功能，系统日志等，这能分析出黑阔都干了神马坏事，以及你的服务器是怎么被干掉的。

　　5.检查系统各个盘符的以及关键目录的操作权限，比如某2B管理给我搞了服务器，E盘原本没权限，如果改为everyone，而恰好他又不去检查，那只要我WEBSHELL在的话，权限就很大，尤其配合一些提权工具，那就很简单了。

　　6.使用杀毒安全软件，这个是为了全盘扫描木马(EXE和脚本以及其他)，查杀木马和修复系统漏洞，至于选择神马杀毒软件，大家自己找，我也不推荐免得被说是枪手，这年头当好人很难的

　　7.web系统的脚本后门要好好检查，一般看看文件操作时间(不过文件时间是可以改滴)，用工具审核，还有人工审核，没能力的找基友，找熟人，还有一种是提前备份好各个系统，出了问题后，把两个文件打包到本地用Beyond Compare对比分析，当然其他对比分析工具也可以，确保剔除掉黑客的脚本，另外能找到自己web系统的漏洞最好了，如果你知道黑客怎么搞你的web系统那你就对应修复吧，记得还有那些变异扩展的脚本也要留意下。

　　8.安装安全狗之类的waf软件，这里不是打广告，反正不少菜鸟黑客遇上狗的服务器，基本都是绕道而行，所以安装类似的软件，虽然不能保证100%防护，但至少给黑客搞你服务器增加不少困难，也可以阻挡一批所谓的脚本小子

第一要做的是，开发的系统都先暂时关闭，系统账户密码都修改一遍，请改之前还要检查服务器是否存在木马等。以免被黑客给你Get Hash(通过某种手段获取系统密码的hash值并进行破解得出明文密码)或明文(那你白干了，黑客笑嘻嘻，心想你个傻鸟我再监听你呢!

一、攻击特征

　　独立服务器被黑后，维护人员应该查看网站或服务器本身出现了哪些特征，比如网站只是跳转到其他网站，首页是否被篡改，是否被植入了脚本或者受DDOS等压力攻击而打不等，查看服务器系统是否中木马病毒、密码被修改被控制等。

　　二、账户检测

　　不论是哪种情况，我们首先需要检查服务器的管理员账户密码是否安全，是否是因为使用了弱密码而被强制破解。

　　其次，在计算机管理界面中，检查系统是否存在恶意账号或添加了新账号，如admin等默认简单账号名称的。

　　还可以通过日志检查账户的登录情况，是否异常登录等，检查恶意登录的IP进行排除。

　　三、系统检测

　　检查系统有哪些IP链接，是否存在恶意IP连接，或开放了不常见的端口，而在这些端口下是否有其他连接接入。

　　还有一个是进程，是否存在恶意进程，许多木马后门都会植入到进程中去。

　　四、服务器启动项检测

　　查看服务器启动项是否有多余的启动项目，如果有，检查该项目是否正常，服务器被黑后，会自启动一些进程。

　　五、日志分析、修补补丁、木马检测

　　1.检查服务器日志，以查看文件被黑的时间(记住，heike能更改日志)，查找是否有可疑的活动，例如失败的登录尝试、命令(尤其是以根用户身份发出的命令)历史记录或未知的用户帐户。

　　2.根据服务器日志分析，找出薄弱的或被heike攻击漏洞。有过这样被黑的经历，平时就应该养成及时下载补丁，修补安全漏洞，必要时建议直接更新至最新版本。

　　3.据木马更新时间一般是最近的日期，然后查询此日期最近新建立的asp、aspx、asa文件，将异常文件进行隔离或删除。当然比较直接的方法就是借助木马查询工具，这样比较快捷，但是同时会删除一样必要的安全文件，所以必须注意筛选。

　　4.根据快照或是收录的东西指向或是相关域的显示跳转看正常不