服务器被攻击怎么办

一般服务器被攻击可能会出现以下几种情况：

服务器被拿下最高权限即系统权限

服务器被拿下webshell

服务器各种数据被社

服务器被C段或嗅探

服务器被各种0DAY打了

来自网络~~~

如何进行处理：

了解是什么类型的攻击。

1、先暂时关闭系统，重新修改账户密码

2、检查是否有多余的账号，清除影子账户。

3、检查服务端口，关闭不必要、不需要得端口，需要时再打开。

4、全面检测服务器，及时清除威胁信息，比如打上安全补丁等。

5、安装防火墙，比如服务器安全狗，可以阻挡很大部分的攻击。

6、在遭受攻击后，还有个就是查看下系统日志，看下黑客都去了哪里

一般服务器被入侵了，最显著的信息就是通过网络命令查看是否有未知IP连接服务器。

相关命令如下：

以上，根据查看的连接地址判断是否有被入侵，如果不了解IP信息，可以把IP信息复制后放到百度上查询下，看看IP所在地址是否在已知连接区域内。

1、入侵者入侵后一般会开服务器的3389，建立隐藏用户，然后登录。我们只要到c:documents

and

settings这个目录下看看是否有可以的用户名就可以了，不管是不是隐藏的用户，都会在这里显示出来。

2、有些入侵者喜欢留一个有高权限的sqlserver数据库用户，当作后门，我们可以打开登陆sqlserver的查询分析器，然后依次打开master--系统表--dbosysxlogins（sqlserver2000下，sql2005和2008下，小王没找到如何查看数据库用户的方法，如果您知道请指点），在这个窗口的name列中可以看到sqlserver数据库的用户，一般情况下会有3个用户，一个是sa，一个builtinadministrators，还有一个是null，如果还存在其他用户，就有可能是被人入侵了或者是我上面讲的那些情况，就需要注意点了，当然不一定就那三个用户，小王还见过name下有多个sa和null的，但不知道是怎么回事，具体问题还需要具体分析。