我的WEB服务器被黑了，惨不忍睹！！！各位分析一下！
之前曾出现网站被植入ASP木马，在所有index.asp,index.html默认首页名下加了iframe代码指向病毒链接，被我都改回来了，曾出现过二到三次，直到今早一上班，发现网站不能访问了，一进服务器一看，不得了，被人光顾了，此人做了如下操作：
1、新建了两个用户，一个是glodsun，一个是syms$(无法删除，可改名)，均属管理员组；
2、改了WIN2003自带的及瑞星防火墙，具体是允许应用程序访问，是它植入的软件；
3、在program   files\commom   files\目录下建立了一个fwq文件夹，里面有它植入的lansee、足迹清除工具、以及一些木马软件；
4、用lansee扫描了IP段；
5、在防火墙有记录允许cain.exe口令破解软件执行；
6、停止了IIS服务，走后并没有开启；
7、清除了IIS日志记录信息；
8、但没有删除或更改网站首页等，只是在其中一个目录中植入了一个不正常的ASP文件，估计是ASP木马；

之前我曾用过ASPSecurity代码分析过这个网站，发现有很多文件是有问题的，说有些ASP文件似乎被加密，ASP文件加密认为是不正常的，对了，这个网站是我这的前任网管自己写的，之前包括现在我一直怀疑有没有可能是他干的？那些加密的ASP文件是否就是自己当时写时留下的后门？如果是别人入侵的话，据我的想法是他不可能停止IIS服务这么明显的动作，反而会让你不知道它来过，所以停止IIS不是明摆着告诉你吗？再有网站主目录并没有被破坏，说明它还是有一定良心的，再有我觉得能进来做这些事情的话，肯定是很顺利的正常进来的，我个人觉得除了通过ASP代码后门之外是不可能进来的，因我的服务器已做得很安全的了，两层防火墙，只开80端口，密码超级复杂，38位组合，根本不可能破解。
各位，根据上述情况帮我分析一下这人入侵的途径，我好对证下药，做好针对性的安防，再有有没有可能是前任进来干的？非常感谢！


------解决方案--------------------
不一定啊，不知道你的服务器的补丁怎么样，也可能是服务器自身的安全，还是用FREEBSD吧。另外，程序是他自己写的，保不准就有漏洞产生，当然也可能是像你说的那样，前任干的。最好是你把代码交给安全圈的可靠的人帮你看看，还有一点就是你有点太轻率了，一般入侵完了后最后要做的就是清除日志，很多人都是清除完日志之后就退出系统了，所以你当你发现服务器被入侵了以后，第一步并不是去尝试修改什么，或者添加什么，你要做的是千万不要往里写任何数据，然后做一下简单的数据恢复，一般对于比较菜的黑客来说这招很管用的，被删除的日志也可以被恢复出来，有了日志，那还怕什么啊！当然也不排除他用特殊的软件或者特殊的方法删除导致恢复不出来。而且还要看站点的重要性，权衡利弊，你自己考虑吧！不行的话，如果有条件你做个“蜜灌”吧。嘿嘿…… 阴死他……
------解决方案--------------------
建议IIS安全权限只是只读，帮顶算了！
------解决方案--------------------
蜜罐故名思义就是故意让人攻击的目标，引诱黑客前来攻击。一方面保护了真正主机的安全，另一方面也方便知道他是如何得逞的。