服务器被中了木马,如何清除?

这是一种典型的挂马，黑客将你的服务器攻陷后(有时甚至不用攻陷），通过修改你网站代码，来达到抓肉鸡，赚取点击量或者其他什么目的。
首先，第一次出现的代码是比较原始的窗口d出（就是将">服务器正在受到攻击，看字面意思就知道是被攻击了哦。一般服务器收到的攻击可以分为网络类的攻击像ddos、arp这类的攻击和针对服务器上的网站的攻击像sql注入、网站上传漏洞的利用等。
建议使用网站安全中心进行安全检测下：网站云安全中心
登录后只需填入网站域名和名称，提交之后进入解析和认证流程，成功后就可以进行安全检测，检测完毕后会有检测报告。这个是免费的哦！
另
外针对服务器经常被攻击的情况，服务器上安装防护软件是十分迫切的需求。请检查下资深服务器上是否有安装服务器防护软件进行防护。一般服务器上安装了防护
软件服务器就不容易被入侵成功，网站主页也很少会黑。服务器上的防护软件效果比较好的有安全狗可以去安装。服务器一直受攻击对公司的影响是非常
大的，建议及时查看日志，及时调节防护规则，进行相应的防护设置。

服务器安全这问题，很重要，之前服务器被黑，管理员账号也被篡改，远程端口也登陆不了了。，在网上搜索了一些服务器安全设置以及防黑的文章，对着文章，我一个一个的设置起来，费了好几天的时间才设置完，原以为会防止服务器再次被黑，没想到服务器竟然瘫痪了，网站都打不开了，无奈对服务器安全也是一窍不通，损失真的很大，数据库都损坏了，我哪个后悔啊。娘个咪的。最后还是让机房把系统重装了。找了几个做网站服务器方面的朋友，咨询了关于服务器被黑的解决办法，他们建议找国内最有名的服务器安全的安全公司来给做安全维护，找了sinesafe，服务器被黑的问题，才得以解决。
一路的走来，才知道，服务器安全问题可不能小看了。经历了才知道，服务器安全了给自己带来的也是长远的利益。 希望我的经历能帮到楼主，帮助别人也是在帮助我自己。
下面是一些关于安全方面的建议！
建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。
一：挂马预防措施：
1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。
2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！
序，只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。
4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!
10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
二：挂马恢复措施：
1修改帐号密码
不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。
2创建一个robotstxt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3修改后台文件
第一步：修改后台里的验证文件的名称。
第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。
第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。
4限制登陆后台IP
此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。
5自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛，可能会向不明来意者传送对方想要的信息。
6慎重选择网站程序
注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。
7谨慎上传漏洞
据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。
8 cookie 保护
登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9目录权限
请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10自我测试
如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。
11例行维护
a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。
b定期更改数据库的名字及管理员帐密。
c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

针对目前各大传奇私服站长受到盛大或者某些卑鄙小人的无耻行为，我特地整理了防止DDOS的攻击资料！
绝对可以防止针对传奇端口，或者WEB的大流量的DDOS承受大约40万个包的攻击量
设置保护80700071007200等你的传奇端口的。
然后按下面整理的注册表修改或者添加下面的数值。
请注意，以下的安全设置均通过注册表进行修改，该设置的性能取决于服务器的配置，尤其是CPU的处理能力。如按照如下进行安全设置，采用双路至强24G的服务器配置，经过测试，可承受大约1万个包的攻击量。
接下来你就可以高枕无忧了。
一部份DDOS我们可以通过DOS命令netstat -an|more或者网络综合分析软件：sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
'关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接
'第二个网关，通过关闭它可以优化网络。
"EnableDeadGWDetect"=dword:00000000
'禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
'不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。
'注意系统必须安装SP2以上
"NonameReleaseOnDemand"=dword:00000001
'发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，
'不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0
'禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，
'可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000
'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
'设定的条件来触发启动了。这里需要注意的是，NT40必须设为1，设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050
'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
'微软站点安全推荐为2。
"TcpMaxConnectResponseRetransmissions"=dword:00000001
'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
"TcpMaxDataRetransmissions"=dword:00000003
'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
"TCPMaxPortsExhausted"=dword:00000005
'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
'源路由包，微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002
'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
'增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003
'最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。
"MaxConnBackLog"=dword:000003e8
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]
'配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。
"EnableDynamicBacklog"=dword:00000001
'配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目
'低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。
"MinimumDynamicBacklog"=dword:00000014
'最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以
'增加5000个，这里设为20000。
"MaximumDynamicBacklog"=dword:00002e20
'每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击
'的系统，建议设置为10。
"DynamicBacklogGrowthDelta"=dword:0000000a
以下部分需要根据实际情况手动修改
'-------------------------------------------------------------------------------------------------
'[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
'启用网卡上的安全过滤
'"EnableSecurityFilters"=dword:00000001
'
'同时打开的TCP连接数，这里可以根据情况进行控制。
'"TcpNumConnections"=
'
'该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上，增加该设置可以提高 SYN 攻击期间的响应性能。
'"TcpMaxSendFree"=
'
'[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{自己的网卡接口}]
'禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录，可以导致攻击，所以禁止路由发现。
"PerformRouterDiscovery "=dword:00000000

如果服务器被入侵的话可以查询系统日志看下最近时间的登录日志。
当服务器遭到攻击时，可能会导致服务器被攻击者远程控制，服务器的带宽向外发包，服务器被DDoS/CC攻击，系统中木马病毒，服务器管理员账号密码被改等。还有可能导致网站被劫持，首页被篡改，网页被植入脚本木马等。

天骐的求生之路可以找到，在搜狐视频可以观看。
用户可以在搜狐视频中搜索“天骐的求生之路”即可看到该视频。
我的世界是一款第一人称视角的沙盒游戏，最初由瑞典游戏设计师马库斯-阿列克谢-泊松单独开发，现在由Mojang-Studios进行维护，网易则是中国大陆地区的独家运营商。我的世界呈现的世界并不是华丽的画面与特效，而是注重在游戏性上面。玩家可以在游戏中的三维空间里创造和破坏游戏里的方块，甚至在多人服务器与单人世界中体验不同的游戏模式，打造精妙绝伦的建筑物，创造物和艺术品。

自己写的，可以提一下意见
2017年，迷你世界总部大举进攻我的世界中国社区。迷你世界总部司令木鱼令三十三号军营独立团团长卡卡带领十万小学生战士攻城，并且派遣2万小学生弓手射火箭，我的世界的玩家大多都是三四十岁中年人（有人统计过，mc玩家平均年龄24岁），因为年龄大，伤亡惨重，听见这一消息，籽岷大大、五人组（小本悠然小天骐仙仙暮云）赶到现场，带领大量中学生运用高频发射器发射火焰d，籽岷带领八万大将冲向前线。虽说少了两万，但是由于体型年龄差，打的非常激烈。半退休的敖厂长听到消息后，赶到现场，对战场指手画点，纸上谈兵。
卡卡加大火力，派遣三万步q兵偷偷包围全城，是否攻进就在卡卡一句话上，我的世界中国社区里的起床（起床战争）大神也不是吃素的，运用方块、末影珍珠、钻石剑，连装备都不穿就上战场了，运用方块讲大部分弓箭抵挡，建立起自己的战场，有些战士被击入悬崖了，利用自己技术来侧搭力挽狂澜。有些起床大神在投掷末影珍珠的一瞬间射出一支箭，箭射碎了末影珍珠，使自己瞬移到目标旁边。利用这一特性几个起床技术大神瞬间杀死很多敌人。卡卡看自己的士兵马上坚持不住，而自己的士兵没有杀死多少敌人时，一时生气，让那三万步q兵进攻。卡卡刚让进攻，就得到一好消息：天骐“弃暗投明”来到了迷你世界这边了！虽然卡卡的士兵伤亡惨重，但是士气没有丝毫减弱。木鱼站出来，派遣了迷你拉、酋长、吸血鬼所有团长一举进攻，虽然我的世界个人很强，但是面对那么多敌人，还是败了下来。“敌军总共2千8百万士兵”国内红石大神做出来的机器人检测到“2千8百万！”籽岷、敖厂长很慌，虽然我方士兵们都是良兵大将，但是也就三百万来人（虽然中国社区也有很多人，但是大部分都没有战斗能力）
我的世界中国社区的城墙外已经布满了梯子，大量的步q兵涌入进来。眼看mc中国社区快被攻下来了，敖厂长及时拉起警报，在最后一时刻，国外的格子哥、钻石哥、猴子、pewdiepie带着将近几亿的粉丝前来助阵，他们的粉丝个个都不输于国内大神，迷你世界被包围了！！！木鱼慌了，不知所措，突然！木鱼被刺杀了，是天骐干的！（讽刺那些说天骐去玩迷你世界成为迷你狗的mc痴），籽岷得到了这一消息，笑了。
仅用了一个小时，迷你大军全军覆没，我的世界Youtobe社区损失：2人，中国社区损失：666人。迷你世界虽然全军覆没但是并没有被斩草除根，卡卡在地上攀爬着，并不甘心，最终饿死在草地上

一般来说，有以下三种原因：
1、虚拟主机网站代码有问题，存在安全漏洞造成的。
如果服务器上大部分用户的网站都正常，只有少量用户网站被黑，那么就很可能是少量用户网站被黑的网站代码有问题，存在安全漏洞造成的。造成这个问题是没有办法解决，也不是服务商的责任。
大家都知道，“虚拟主机提供商”对自己的每个虚拟主机用户都分配了FSO文件 *** 作的权限，他们通过您分配的合法权限，可以任意改动和上传的任何文件。如果用户没有保护好您分配给他们的合法权限，令黑客有机可乘，那么，黑客就可以利用合法权限对网站进行破坏了，但是大部分用户都认为这个黑客入侵不是他自己造成的，是服务商造成的，这实际上是冤枉了服务商。例如，用户使用了一些不安全的程序（如“动网论坛”），这些程序的代码设计本身存在漏洞，很容易被黑客利用来上传网页木马，黑客可以 *** 纵网页木马，利用合法权限来破坏您用户的数据和改动网页的文件，甚至导致网站完全打不开。这些手法是最常见的“客户的网站代码有问题，存在安全漏洞造成的”。
2、是服务器被入侵导致的。
当服务器上所有网站都被植入了病毒代码，并且可以在源文件的尾部或头部找到病毒代码文件，或者在IIS里面被植入了添加脚本，就标明是由于服务器被入侵导致的。
3、是服务器所在的机房中了ARP病毒导致的。
当服务器上所有网站都被植入了病毒代码，并且在源文件的尾部或头部无法找到病毒代码文件，就表明服务器所在的机房中了ARP病毒。这时需要联系我们来解决，一般情况下，机房会有大量服务器中毒，会有很多客户向机房反应，一般在半小时内机房就会处理的。
服务器/VPS解决办法：如装antiarp,金山ARP

---