网站被攻击了啊,各位大大救救我啊
2008年1月14日,星期一中午13:30,我们的网络管理员正在线上(用远程桌面连接到213服务器),发现上面另外有一个用户上来了,发现这不是我们自己的用户。我们意识到有黑客攻进了我们的系统,于是马上把它踢了下去,用管理工具的用户管理直接把他的用户给删除掉了,同时检查日志发现他是要开启我们的IIS服务,架设一个ARP攻击服务器,而这个ARP服务直接指向了机房另外一台服务器143,我们随即备份了相关的情况,并删除了他的IIS服务以及遗留的文件。修改了管理员密码,接着用安全卫士360检查系统发现没有异常。当晚我们一直值班到11:30分,没有发现他的再次入侵。
到2008年1月15日,星期二早上9:00上班,检查日志发现00:30以前日志被删除了,我们意识到在黑客又一次入侵了我们的系统,检查发现黑客在系统上安装一个软件叫《QQ第六感2.0》,于是删除之,检查用户发现guest用户被克隆成了管理员帐号(以前管理员帐号是有32位MD5密码并被禁用的),于是我们用另一个不再任何组的废弃账户SQL Debuger(以前的账户,不再任何组,禁用、有密码)克隆掉了guest账户。同时通过安全卫士360发现了他的遗留痕迹,发现他上过一下网站:(http://jjzjs.ys168.com和http://jjzjs.ys168.com),清理之,同时用IE清理了缓存文件。接着,修改了管理员密码。
到2008年1月15日,星期二早上11:00远程系统再次发生意外错误,自动重启就好了,可是我们怎么检查都没有在发现异常。无法之下,我们求助了服务器托管商,中午刚到托管商那边(15:30),发现系统再次意外错误重启,而重启后我们怎么都上不了,经机房检查发现管理员密码被改掉了,于是请机房帮我们破掉了管理员密码,并修改了远程桌面的端口,再次仔细查杀木马发现在scrss.exe中注入了ARP木马,清理之。同时机房联系了143的服务器(UNIX服务器)所有者公司,发现143系统已经被攻击,root密码被改,机房帮忙重装之。再检查我们的机器没什么问题,于是晚上值班到24:00,没有发现异常。
到2008年1月16日,星期三上班,发现基本正常没有异常现象,同时发现日志较长,于是在下班时清除了日志。一直值班到17日(周四)早上04:30,隔5分钟刷新一次日志,发现系统在17日00:00左右发生了意外错误一次,自动热重启就好了,没有发生任何入侵的数据流与异常记录。到17日03:00发现已经没什么人访问了,于是重启了服务器,再次全面检查,没有异常,启动杀毒软件做了一次全盘扫描。
到2008年1月17日,星期四早上11:35开始,系统开始接连两次出现蓝屏异常,检查系统发现系统是意外重启,联系机房,机房的办法是取消系统的发生错误自动重启选项,一直到目前。
各位高手帮忙分析一下,怎么才能不重启啊?