第一步，急救
   情況一：管理員帳號無法登陸系統(tǒng)。
急救方法：使用ERD Commander恢復(fù)管理員密碼，ERD的界面是仿XP的界面，對XP\WIN2K/WIN2003適用。ERD Commander是一張可以自啟動的系統(tǒng)急救盤，具體的作用參見下面的補充材料
   情況二：數(shù)據(jù)和程序被破壞，非系統(tǒng)盤盤被格式化，或者被惡意刪除
急救方法：使用EasyRecovery，進行恢復(fù)數(shù)據(jù)
   情況三：其他情況下程序被加插代碼
急救方法：用搜索功能，把ASP或者PHP程序全部搜索出來，然后按時間排序，使用EditPlus打開所有懷疑的文件，（一般是被黑的文件的日期之后或者是conn.asp等文件），然后用替換所有打開的文件的功能，把所有加了的代碼替換掉，然后按批量保存，可以在幾秒之內(nèi)去掉所有的被加的代碼。
第二步，檢查損失情況，補漏
一般主機的安全，有5個方面的安全

1.主機的硬件的安全管理。比如，硬盤突然壞了，電源燒了等硬件不可控的因素。這可以通過每日備份和線下備份兩種方法來處理。數(shù)據(jù)庫，如果是有客戶或者瀏覽者更新內(nèi)容的，就要每日做好下載備份的工作。程序，一定要有本地的備份。GHOST，對于硬件損壞，起的作用不大。
 
2.主機的操作系統(tǒng)的安全。WIN2K系統(tǒng)因為系統(tǒng)安全策略是比較寬松的，缺省的服務(wù)很多自動開放了，WIN2003就已經(jīng)嚴(yán)格了很多。對于系統(tǒng)，經(jīng)常的是感染操作系統(tǒng)病毒，病毒會使用大量占用系統(tǒng)的CPU資源，對于網(wǎng)站的程序，影響不會太大。而最常見的攻擊是1）使用DDOS洪水攻擊，發(fā)送大量的數(shù)據(jù)包，讓系統(tǒng)死機后，2）尋找系統(tǒng)開放的端口，利用端口的溢出漏洞獲取管理員密碼和種植系統(tǒng)木馬。一般的對策是采取硬件防火墻封鎖的端口和封鎖對方的IP的訪問，其實也可以采用系統(tǒng)自帶的“本地安全策略”和封鎖本地的端口訪問來達到這個目的，功能并不比硬件防火墻差，而且很多硬件防火墻其實也是用了LINUX系統(tǒng)擴展功能來實現(xiàn)的，本身也有各種的漏洞。殺病毒軟件也是一定要裝的，并且保證病毒庫的最新版本，也是日常要完成的工作。把系統(tǒng)的自動升級功能開了，設(shè)置成自動接受，當(dāng)系統(tǒng)補丁下在完畢后，會在右邊圖標(biāo)那里有個圓圖標(biāo)，表示不動已經(jīng)就緒，可以安裝。
 
3.應(yīng)用程序的安全。
網(wǎng)站的訪問IIS，文件的上傳下載SERV-U、電子郵件、數(shù)據(jù)庫（Sqlserver），等應(yīng)用程序，這些程序也是在不斷的完善，低版本就有不少的漏洞，這些漏洞是黑客經(jīng)常光顧的地方。要經(jīng)常訪問黑客的站點，并不是讓你去攻擊別人，而是要清楚別人是怎么把你的主機拿下的，特別是留意你安裝的各種軟件是否有最新的漏洞。軟件的最新版本不一定要追，但最新的漏洞一定要防。
應(yīng)用程序的安全可以通過權(quán)限來設(shè)置。比如Sqlserver的權(quán)限可以通過設(shè)置DB_OWENER等權(quán)限，盡可能把最小的權(quán)限交給應(yīng)用程序。
4.網(wǎng)站程序的安全。
以上幾個地方被黑了，有的時候是無能為力的，因為黑客總比別人掌握多一點知識。但程序的漏洞，卻是自己可以去控制的。象動網(wǎng)論壇，動易程序，由于是開源程序，會有很多人分析里面的潛在的漏洞，然后針對這些漏洞實施1）上傳木馬 2）SQL注入獲得管理權(quán)。即使是自己編寫的程序，也很容易被掃描漏洞的程序掃描到，或者使用抓包工具，偽造數(shù)據(jù)包，然后實施攻擊。使用黑客軟件，一個操作，就可以自動在index.asp或者conn.asp里面加插IFRAME的代碼。過濾提交的漏洞，把檢查端放在服務(wù)器。國內(nèi)很多程序已經(jīng)可以檢測ASP木馬，象KV就可以檢查。程序的登陸那里要加上驗證功能，防止掃描密碼軟件進行掃描。在IIS設(shè)置那里，把FSO的權(quán)限設(shè)置好了，可以防止一個網(wǎng)站被黑影響到其他的網(wǎng)站。

5.有害信息
有害信息是網(wǎng)監(jiān)監(jiān)督的重點，一般采取過濾敏感詞和評論審核的功能。
針對以上的情況，可以按照以下的步驟逐步去檢查損失情況
TIPS1：檢查是否有黑客軟件或者木馬，可以用搜索整臺電腦的dll,com和PIF文件，如有可疑的文件，用文件名去搜索www.boryin.com或者www.09xdx.com，看是否是病毒
TIPS2：網(wǎng)站程序是否被黑，可以搜索所有的文件（例如*.asp *.php），檢查文件的時間，如果是被黑哪個時間修改或者新加的，就要打開詳細檢查下文件的內(nèi)容是否被種植病毒代碼。
TIPS3：數(shù)據(jù)庫的重裝，對于用戶的管理要謹慎，經(jīng)常是恢復(fù)的程序適當(dāng)，造成數(shù)據(jù)庫無法訪問，最好是在其他地方恢復(fù)數(shù)據(jù)庫，然后生成SQL腳本，在主機上用SQL查詢管理器重建數(shù)據(jù)庫，再把數(shù)據(jù)倒過去。
第三步，追查是從那里被黑的，找到被黑的漏洞，進行修補
1.用解鎖工具猜測密碼，可以在系統(tǒng)的事件那里看到
2.利用程序漏洞，可以檢查LOG文件
 
第四步，制定完善的日常管理
1.數(shù)據(jù)備份
2.日常的補丁和漏洞掃描
3.用NBSI分析日志文件