如果您（客户）的网站已被入侵，那么您应该首先将其下线。您无法轻易证明黑客没有安装 rootkit。您必须假设该服务器上的所有数据都已遭到入侵，并且可能丢失。为了您的利益，我希望您没有将信用卡或其他付款数据存储在未加密的 SQL 数据库中，或者将其用密钥加密存储在同一个系统的某个地方。

然后，您必须从已知良好的映像重建它，并从上次已知良好的备份中恢复。这是唯一可以确保的方法。从轨道上摧毁它。

至于如何弄清他们是如何进入你的系统的，请查看人们登录时的事件日志，也可能查看审计日志，这可能会告诉你他们是否执行了上传区域的任何代码。这对你来说是一个很好的学习经验，尤其是当涉及到网站公开可访问区域的可执行权限以及审计和日志记录时。

您的首要任务必须是在已知良好的服务器上重建网站，并比原始网站实施更严密的保护。

你可能会发现这个“从受感染的系统中恢复“ 一篇有趣的读物。

RobertMoir 备受好评的回答这这个问题也许也会对你有帮助。

我的网站 CMS 有一个文件上传区域，您可以在其中上传要在网站内使用的图像和文件。上传仅限于 2 个文件夹。我在这些文件夹中发现了两个可疑文件，检查内容后发现这些文件似乎允许黑客查看服务器的文件系统并上传自己的文件、修改文件甚至更改注册表项？！

正是出于这个原因，文件上传区域非常危险。您必须采取重大措施确保上传的内容不会被重新用于黑客攻击。如果您阻止可执行内容，则站点上其他地方易受 XSS 攻击的脚本可能会调用该代码并在其自身的背景，它是可执行的。

他们通过上传一些稍后可以运行的内容进入系统。也许他们直接调用了它，在这种情况下，您需要确保只有不可执行的内容才能上传到这些目录。也许他们从其他脚本调用了它，要发现这一点，需要挖掘日志文件以查看哪个脚本调用了您识别的那些文件，然后保护该脚本。

重建服务器后，请仔细查看这些漏洞并重新评估上传目录的必要性。

如果您运行的是 asp.net，并且仅像您在 SO 上标记的那样，那么您只需要在用户上传文件的根目录上添加此 web.config。使用该 web.config，您不允许任何人在此目录树上运行 aspx 页面。

<configuration>
    <system.web>
      <authorization>
        <deny users="*" />
      </authorization>
    </system.web>
</configuration>

从 IIS 日志中，您应该能够找到文件上传的时间以及文件来自哪个 IP 地址