最近朋友公司的服务器被黑客入侵,让我过去帮忙看看。于是乎有了这篇文章。

　　首先我们当然是要了解下目前服务器被入侵感染及破坏的情况了：

　　据朋友说：

　　1. 服务器工作异常，网络非常缓慢

　　2. 服务器上经常出现病毒和木马的提示

　　3. 服务器上的日志有被删除的迹象

　　4. 有被挂马的迹象

　　5. 次日出现网站文件夹被删除

　　于是开始着手分析：

　　第一个想到的当然是分析日志，但是日志已经被删除了。而且使用数据恢复工具进行恢复也没成功，只能pass。然后想到查看一些不容易被注意的日志----杀毒软件的查毒日志：

　　发现有大量的下载后门木马及黑客工具的记录：包括135扫描工具、灰鸽子、Pcshare、S扫描器等…..

　　从这里我们分析得到这个黑客有抓肉鸡的习惯，入侵服务器的目的之一就是为了利用服务器的带宽来抓更多的个人PC肉鸡。当然我们也不排除他会使用我们的服务器去DDOS攻击别人。

　　接着分析：有添加非法用户的迹象