服务器被黑客攻击怎么办

1、检查系统日志，查看下是什么类型的攻击，看下攻击者都去了哪些地方。内容是否又被修改的痕迹等，如果发现问题及时进行清理。
2、关闭不必要的服务和端口
3、定期整体扫描下服务器，看下存在什么问题， 有漏洞及时打补丁；检查是否有影子账户，不是自己建立的账号等。
4、重新设置账户密码，密码设置的复杂些；以及设置账户权限。
5、对服务器上的安全软件进行升级，或者是对防护参数进行重新设置，使他符合当时的环境。如果没有安装，可以安装个服务器安全狗，同时，还可以将服务器添加到安全狗服云平台上，这样当有攻击发生时，可以快速知道，并进行处理等。
6、检测网站，是否又被挂马、被篡改、挂黑链等，如果有，及时清理。
7、如果是大流量攻击，可以看下DOSS流量清洗，这个很多安全厂商都有这个服务。
8、定期备份数据文件。如果之前有做备份，可以对重要数据进行替换。

收到的数据量比发送的数据量大的多属于正常现象，如果反之则极有可能是被远程入侵了。
此外判断是否被入侵的方法：
一般判断：
1、查看端口，特别是从其他主机上扫描本机所有开放端口（以防本机上被隐藏的端口）
2、查看进程，特别是用带有路径和启动参数的进程查看软件检查
3、检查所有启动项（包括服务等很多启动位置）
4、查看可引起程序调用的关联项、插件项
高级防范：（防止内核级隐藏端口、进程、注册表等）
1、用其他可读取本系统文件的os启动，检查本机文件、注册表
2、用网络总流量对比各套接字流量和、查看路由器网络通讯记录等方法分析异常网路通讯
要抓入侵人，查看并跟踪日志。（不光是本机的日志，包括路由器的，电信的等）
如何来知道电脑有没有被装了木马？
2005-07-20
一、手工方法：
1、检查网络连接情况
由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的方法如下：点击“开始”->“运行”->“regedit”，然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY-USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的Systemini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorerexe fileexe这样的内容，如有这样的内容，那这里的fileexe就是木马程序了！
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户却很少用的，然后把这个账户的权限提升为管理员权限，这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况，可以用以下方法对账户进行检测。
点击“开始”->“运行”->“cmd”，然后在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不应该属于administrators组，如果你发现一个系统内置的用户是属于administrators组的，那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧！

网络安全警察是通过查找其IP地址的。

网警抓黑客的主要技术是计算机取证技术，又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学，是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术，即删除或者隐藏证据从而使网警的取证工作无效。

扩展资料：

分析数据常用的手段有：

1．用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说：在上午10点的时候发生了入侵事件，那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件 。

2．由于黑客在入侵时会删除数据，所以我们还要用数据恢复工具对没有覆盖的文件进行恢复 。

3．对系统中所有加密的文件进行解密 。

4．用MD5对原始证据上的数据进行摘要，然后把原始证据和摘要信息保存。

上面的就是网警在取证时所要进行技术处理的地方，然后根据分析的结果(如IP地址等等)来抓人。

估计你的服务器已经有木马了，防火墙对木马不好使，上次我们的服务器中了木马，瑞星，奇虎360 都查不出来。在系统时间正确的情况下，你可以考虑在安全模式下用卡巴查杀，尽量不用服务器上网
建议你只开启有用端口
外网 本地连接属性---高级----选项，TCP/IP筛选，属性，启用TCP/IP筛选，在这设置常用端口，如tcp 80 21 UDP 20 4000等，根据自己的应用程序需要

判断网站服务器是否遭到DDOS攻击，您可以检查下
服务器CPU是否被大量占用
服务器可能会无法正常连接或者是网站无法打开
在一个就是带宽资源占用情况
ping命名，ping下IP是否丢包或者是否能ping通

1、先看日志是什么类型的攻击，
2、如果是CC，则可以在网站程序上增加防攻击代码或用软防火墙；
3、如果是DDOS，那得换具有硬防抗DDOS攻击的机房；
4、如果是入侵，那需找相应的防入侵方法。
5、如果服务器是在美国那就好办了，找红盾 免费对抗攻击，他们有提供专业的免费对抗服务。
6、如果是被挂外键刷网站流量，则可以增加防盗链方法，避免盗链。

---