服务器被入侵后的处理办法

注意,必须使用最新版本的受控(2-11-8-13),升级后点"设置asp.net严格安全",并点"拦截可能的入侵",同时PHP安装包也必须升级到php5.2.17以上版本 

星外安全包的IP策略在2013-1-1更新过，注意升级。 

星外有N台服务器在用，只要严格设置，特别的严格asp.net安全，PHP安全，及星外杀马处理权限，SQL运行用户设置完成后，几乎是没可能入侵的，上述的少一项都不行. 

1.马上检查是不是有多出来的超级管理员或普通用户,禁止或删除它. 

2.重建受控网站,这样freehostrunat用户会自动改密码 

3.用星外杀马软件扫所有盘的权限(这是最重要的!!!),并用安全包修补权限漏洞 

4.装金山卫士或360扫启动项,木马项(注意,安装360的用户绝对不要点优化,不然服务器就完蛋了.扫完后应该删除360,因为有部分的版本360有提权问题) 

5.装Mcafee全盘扫病毒 

6.如果添加删除中被安装了winpcap,cain，马上删除它。 

7.更改所有关键密码，如freehost后台密码，freehost数据库连接密码，SA密码，root密码等。 在自检受控的地方，点管理，可以批量更新所有FTP的密码。 

8.主控网站必须将原来所有ASP文件删除!因为里面很可能有木马,然后,用主控升级包的文件复制过去来恢复主控网站 
提高主控安全性的关键说明参考 
http://sys.7i24.com/system/support/show.asp?id=105131504470 

9.如果以上处理后，还发生再次入侵，请启自动设置受控中的拦截入侵项,并启有记录所有日志功能.长期监控C盘写入的文件防止入侵并查找原因 

10.如果你仍不放心，建议重装操作系统。 

11.如果你由于特殊原因无法重装系统，你可以拒绝freehostrunat用户远程桌面提高安全，办法如下： 
在服务器上，开始中，在管理工具中，打开本地安全策略，点左边的本地策略，再点用户权限分配，再双击右边的"通过终端服务拒绝登陆" 
(win2008是通过远程桌面服务)登陆，再点添加用户或组，输入freehostrunat用户名，确定,确定后就生效了。 


其他安全处理细节参考 
http://sys.7i24.com/system/support/show.asp?id=110072345476 

http://sys.7i24.com/system/support/show.asp?id=20120619143843 

另外，如果找不到入侵代码，但会在搜索中自动转向的，很可能是用户网站的根目录有隐藏的系统属性的 global.asa文件造成的。删除它。 

最新的侦听FTP密码的木马说明 
http://sys.7i24.com/system/support/show.asp?id=20140424002240 

禁止CMD： 
http://sys.7i24.com/system/support/show.asp?id=20130410145227