一、首要操作

1.更改系统管理员账户的密码，密码长度不小于8位并且使用大写字母+小写字母+数字+特殊字符组合；（黑客已经抓到您的机器，必定有破解密码的危险，所以先更改个复杂性密码）

2.更改远程登录端口并开启防火墙限制允许登录的IP，只允许自己所在的网络地址可以访问此服务器，防火墙配置只开放特定的服务端口并对FTP、数据库等这些不需要对所有用户开放的服务进行源IP访问控制策略；

3.检查是否开放了未授权的端口

windows在DOS命令行输入“netstat /ano”，检查端口；有开放端口的根据PID检查进程，删除对应路径文件（根据PID检查进程步骤：开始-->运行-->输入 “msinfo32” 软件环境-->正在运行的任务 ）； linux 输入命令 “netstat –anp”查看；

4.检查是否有其他超管用户或隐藏账户

windows在DOS命令行输入“net localgroup administrators”，查看管理员组是否有未知的超级管理员账号，如果有，请到“C:\Documents and Settings”中将未知管理员账户删除，如果是隐藏的用户请在“工具—文件夹选项—查看—隐藏受保护的系统文件（推荐）“的对号去掉，并选择下面的” 显示所有文件和文件夹“点击确定即可看到所有隐藏用户目录和文件。

5.删除系统中未知账户，windows系统还需要检查注册表中的SAM键值是否有隐藏账户

6.假如有WEB服务的，限制web运行账户对文件系统的访问权限，只开放仅读权限。

二、后期防御

1.手工修改其他服务密码

2.例如：服务器登陆密码、数据库连接密码、网站后台密码、FTP密码、其他服务器管理软件密码等。系统安全加固

3.建议站长把网站后台隐藏起来，尽量在保证网站正常运行的前提下，把网站后台目录名改的长长的。

4.windows系统要及时更新系统补丁

5.因为被黑的服务器很难可以在被管理员驯服，建议可以重新安装系统，并在安装完系统后首要做好服务器的内部安全