谁能帮忙指点迷津，让洒家脱离苦海。

小弟自用一款VPS，server 2003，web server IIS，放置两个php+mysql站点。
————————————此为背景。

昨天一来，一直有位大佬，不停扫描端口，暴力破解登陆。

我应急，检查端口，扫描补丁。之后关闭站点写入权限。回去休息。。

今天过来噩梦来临，编辑更新文章，我开写入权限，9：18打开，9：19 站点内，全部index config 挂上了黑链。（加密后黑链。）
之后立即关闭写入，事件查看器、日志、端口、也木有看出来个所以然。删除黑链。

9：32分，逐个文件夹打开写入。打开一个挂一个 还是index config 

之后关闭写入，删代码。google 一通，找出了些还是不太明白。。。
望各位大佬指点下，先行谢过！！！

 

------解决方案--------------------
我不懂为什么（。。。）不过看帖回帖是一个好习惯

------解决方案--------------------
好吧，我回帖，虽然不知道LZ在说什么.
------解决方案--------------------
楼主出家吧，这样能脱离苦海！
------解决方案--------------------
什么东东
------解决方案--------------------
值得怀疑的地方
1.ARP。
2.系统中已经被安装了某种后门程序。
3.检查是不是在你登陆的同时，加载了某个脚本或程序。
------解决方案--------------------
非专业不懂啊，对手很专业。悲剧的LZ，养马场场长非你莫属了，建议卖了它的马，拆了它的马棚