自己的服务器总是CPU使用率暴涨，然后流抗投诉服务器量一下增加很多。

应该是被入侵了，然后作为了一个DDOS的节点。

这种情况下，应该如何解决？
备份数据之后重装。关掉 ssh 的密码验证，只用证书。

有很多很多个网站，备份有啥好的选择吗？
怎么知道是因为啥原因入侵了，我觉得不是ssh的原因。

查看服务器日志吧。

网站是否使用了 PHP？是否使用了开源程序？

:P DeDe

是的。全是php 全是开源。我觉得应该是程序漏洞，但是不知道如何侦查。。

好多好多好多。。。。网站太多了。。

不一定是 ssh 的原因，webshell 的可能性更大。

我觉得就是webshell。但是这个怎么破？

看看访问日志里面有没有线索，注入之类的话应该会有不寻常的 URL 吧？

难道没有工具可以分析日志吗？手动分析有点困难。

有工具可以分析，但是具体的我没有了解过，你可以通过webshell入手，或者通过文件创建时间这类入手。另外dede的漏洞实在太多了。
首先扫webshell和一句话，因为大部分人更喜欢用菜刀。
如果没找到。
可以试下列各网站目录，然后查看文件修改时间（比如dede很多漏洞，都会创建文件或者修改某个文件），当然这是一个笨方法的。
还有个方法，自己模拟入侵一遍。哈哈，漏洞全知。
另外针对这类的话，主要原因还是在于权限上

就我线上的几个 dede 系统（听说一些 wordpress 系统也被webshell 了）来看，很容易被批量扫描，自动写入 ddos 客户端。你说的特征很像这种情况。
你可以试试搜索 php 文件里的 eval 字符串（比如在 Linux 下到 web 目录输入「grep -r "eval(" . --include=*.php」） 很容易抓出有问题的木马。
有不少临时解决办法。

你站太多是不应该看日志的。站多，首先应该考虑禁用一部分函数（比如 ignore_user_abort、set_time_limit、fsockopen），甚至关停一些垃圾站或者关闭 PHP 权限。
如果网站比较重要，首先应该抓到木马客户端，根据文件创建时间查该天日志，找到入侵漏洞来源然后补漏洞删文件。删除没有用到的组件。另外还要做权限设置。

自己咋入侵。。

比如你服务器上有10个DEDE站，10个wordpress站。
wordpress的安全性是大于dede的。所以先检测dede站
如 www.adede.com www.bdede.com
先自检测adede.com的漏洞
再检测bdede.com的漏洞

问题是用啥检测。。

找到了木马文件了。。
已经删除了。
但是还是有点问题。。。。。
周末重装算了。。。

重装解决不了问题的，还是会被入侵，dede是个万年坑，楼主早点跳出来比较好。

自己手动，一般的入侵方法，百度搜索下就有了。像dede这类的，多数是用0day，另外，dede最好删除member文件夹，还有data文件夹需要做什么的给忘记了。
就像dede最新的0day貌似是利用plus下的一个文件的。

恩恩。。
有啥好用 简单易上手的cms推荐？

已近决定跳出来了。


找到了那个入侵者的ip。。有啥办法对付他吗。

没办法，IP一般都不是固定的。而且有些可能是V.P.N了。所以无解。

应该不是。。
日志多处都说的是那个IP...

那可能是通过服务器做跳板的。

看描述应该是骇客在你的服务器上种植了个php ddos工具用来作为botnet攻击别人……