1.發現伺服器被入侵，應立即關閉所有網站服務，暫停至少3小時。

　　很多站長朋友可能會想，不行呀，網站關閉幾個小時，那該損失多大啊，可是你想想，一個可能被黑客修改的釣魚網站對客戶的損失大，還是一個關閉的網站呢?你可以先把網站暫時跳轉到一個單頁面，上面寫上一句話：網站維護中，預計3小時後開啟訪問，請各位稍後進行訪問，聯絡方式：xxx，即可解決這個問題。

　　2.下載伺服器日誌(如果沒被刪除的話)，並且對伺服器進行全盤防毒掃描。

　　這將花費你將近1-2小時的時間，但是這是必須得做的事情，你必須確認黑客沒在伺服器上安裝後門木馬程式，同時分析系統日誌，看黑客是通過哪個網站(一般被掛馬的那個網站可能存在漏洞)，哪個漏洞入侵到伺服器來的。找到並確認攻擊源，並將黑客掛馬的網址和被篡改的黑頁面截圖儲存下來，還有黑客可能留下的個人IP或者代理IP地址。

　　3.為系統安裝最新的補丁，當然還有所有執行著的伺服器軟體。

　　window系統打上最新的補丁，然後就是mysql或者sql資料庫補丁，還有php以及IIS，serv-u就更不用說了，經常出漏洞的東西，還有就是有些IDC們使用的虛擬主機管理軟體，如N點虛擬主機管理軟體、易方管理軟體、華眾管理軟體等等。

　　4.為網站目錄重新配置許可權，關閉刪除可疑的系統賬戶。

　　關閉刪除所有可疑的系統帳號，尤其是那些具有高許可權的系統賬戶!重新為所有網站目錄配置許可權，關閉可執行的目錄許可權，對圖片和非指令碼目錄做無許可權處理。

　　5.重新設定各種管理密碼，開啟防火牆進行埠過濾。

　　完成以上步驟後，你需要把管理員賬戶密碼，以及資料庫管理密碼，特別是sql的sa密碼，還有mysql的root密碼，要知道，這些賬戶都是具有特殊許可權的，黑客可以通過他們得到系統許可權!

　　6.接下來，你需要對網站挨個進行處理。

　　web伺服器，一般都是通過網站漏洞入侵的，你需要對網站程式進行檢查(配合上面的日誌分析)，對所有網站可以進行上傳、寫入shell的地方進行嚴格的檢查和處理。

　　完備的善後工作：為伺服器安裝一個嗅探及蜜罐工具，對伺服器日誌進行遠端備份服務，對所有網站的資料和程式進行備份操作，防止黑客惡意刪除網站資料造成經濟損失。在接下來的幾天裡要密切關注伺服器和網站的執行情況，看是否還會出現黑客攻擊的情況發生，然後根據日誌發現並修補那些未知的漏洞。