【IT168 专稿】最近朋友公司的服务器被黑客入侵,让我过去帮忙看看。于是乎有了这篇文章。（服务器已经重装，由于当时的聊天记录不完整，所以有些部分无法截图，请大家见谅）。

    首先我们当然是要了解下目前服务器被入侵感染及破坏的情况了：
    据朋友说：
    1. 服务器工作异常，网络非常缓慢
    2. 服务器上经常出现病毒和木马的提示
    3. 服务器上的日志有被删除的迹象
    4. 有被挂马的迹象
    5. 次日出现网站文件夹被删除
    6. …..
    于是开始着手分析：
    第一个想到的当然是分析日志，但是日志已经被删除了。而且使用数据恢复工具进行恢复也没成功，只能pass。然后想到查看一些不容易被注意的日志----杀毒软件的查毒日志：

    发现有大量的下载后门木马及黑客工具的记录：包括135扫描工具、灰鸽子、Pcshare、S扫描器等…..
从这里我们分析得到这个黑客有抓肉鸡的习惯，入侵服务器的目的之一就是为了利用服务器的带宽来抓更多的个人PC肉鸡。当然我们也不排除他会使用我们的服务器去DDOS攻击别人。

    接着分析：有添加非法用户的迹象