第一步，急救
   情况一：管理员帐号无法登陆系统。
急救方法：使用ERD Commander恢复管理员密码，ERD的界面是仿XP的界面，对XP\WIN2K/WIN2003适用。ERD Commander是一张可以自启动的系统急救盘，具体的作用参见下面的补充材料
   情况二：数据和程序被破坏，非系统盘盘被格式化，或者被恶意删除
急救方法：使用EasyRecovery，进行恢复数据
   情况三：其他情况下程序被加插代码
急救方法：用搜索功能，把ASP或者PHP程序全部搜索出来，然后按时间排序，使用EditPlus打开所有怀疑的文件，（一般是被黑的文件的日期之后或者是conn.asp等文件），然后用替换所有打开的文件的功能，把所有加了的代码替换掉，然后按批量保存，可以在几秒之内去掉所有的被加的代码。
第二步，检查损失情况，补漏
一般主机的安全，有5个方面的安全

1.主机的硬件的安全管理。比如，硬盘突然坏了，电源烧了等硬件不可控的因素。这可以通过每日备份和线下备份两种方法来处理。数据库，如果是有客户或者浏览者更新内容的，就要每日做好下载备份的工作。程序，一定要有本地的备份。GHOST，对于硬件损坏，起的作用不大。
 
2.主机的操作系统的安全。WIN2K系统因为系统安全策略是比较宽松的，缺省的服务很多自动开放了，WIN2003就已经严格了很多。对于系统，经常的是感染操作系统病毒，病毒会使用大量占用系统的CPU资源，对于网站的程序，影响不会太大。而最常见的攻击是1）使用DDOS洪水攻击，发送大量的数据包，让系统死机后，2）寻找系统开放的端口，利用端口的溢出漏洞获取管理员密码和种植系统木马。一般的对策是采取硬件防火墙封锁的端口和封锁对方的IP的访问，其实也可以采用系统自带的“本地安全策略”和封锁本地的端口访问来达到这个目的，功能并不比硬件防火墙差，而且很多硬件防火墙其实也是用了LINUX系统扩展功能来实现的，本身也有各种的漏洞。杀病毒软件也是一定要装的，并且保证病毒库的最新版本，也是日常要完成的工作。把系统的自动升级功能开了，设置成自动接受，当系统补丁下在完毕后，会在右边图标那里有个圆图标，表示不动已经就绪，可以安装。
 
3.应用程序的安全。
网站的访问IIS，文件的上传下载SERV-U、电子邮件、数据库（Sqlserver），等应用程序，这些程序也是在不断的完善，低版本就有不少的漏洞，这些漏洞是黑客经常光顾的地方。要经常访问黑客的站点，并不是让你去攻击别人，而是要清楚别人是怎么把你的主机拿下的，特别是留意你安装的各种软件是否有最新的漏洞。软件的最新版本不一定要追，但最新的漏洞一定要防。
应用程序的安全可以通过权限来设置。比如Sqlserver的权限可以通过设置DB_OWENER等权限，尽可能把最小的权限交给应用程序。
4.网站程序的安全。
以上几个地方被黑了，有的时候是无能为力的，因为黑客总比别人掌握多一点知识。但程序的漏洞，却是自己可以去控制的。象动网论坛，动易程序，由于是开源程序，会有很多人分析里面的潜在的漏洞，然后针对这些漏洞实施1）上传木马 2）SQL注入获得管理权。即使是自己编写的程序，也很容易被扫描漏洞的程序扫描到，或者使用抓包工具，伪造数据包，然后实施攻击。使用黑客软件，一个操作，就可以自动在index.asp或者conn.asp里面加插IFRAME的代码。过滤提交的漏洞，把检查端放在服务器。国内很多程序已经可以检测ASP木马，象KV就可以检查。程序的登陆那里要加上验证功能，防止扫描密码软件进行扫描。在IIS设置那里，把FSO的权限设置好了，可以防止一个网站被黑影响到其他的网站。

5.有害信息
有害信息是网监监督的重点，一般采取过滤敏感词和评论审核的功能。
针对以上的情况，可以按照以下的步骤逐步去检查损失情况
TIPS1：检查是否有黑客软件或者木马，可以用搜索整台电脑的dll,com和PIF文件，如有可疑的文件，用文件名去搜索www.boryin.com或者www.09xdx.com，看是否是病毒
TIPS2：网站程序是否被黑，可以搜索所有的文件（例如*.asp *.php），检查文件的时间，如果是被黑哪个时间修改或者新加的，就要打开详细检查下文件的内容是否被种植病毒代码。
TIPS3：数据库的重装，对于用户的管理要谨慎，经常是恢复的程序适当，造成数据库无法访问，最好是在其他地方恢复数据库，然后生成SQL脚本，在主机上用SQL查询管理器重建数据库，再把数据倒过去。
第三步，追查是从那里被黑的，找到被黑的漏洞，进行修补
1.用解锁工具猜测密码，可以在系统的事件那里看到
2.利用程序漏洞，可以检查LOG文件
 
第四步，制定完善的日常管理
1.数据备份
2.日常的补丁和漏洞扫描
3.用NBSI分析日志文件