服务器被入侵了~~具体见进来看

服务器配置：
Windows2003 SP2（打好了所有补丁）
IIS+PHP5+Zend3+MySQL5
诺顿防毒软件企业版+系统内置防火墙
Serv-U6
服务器上公司三个子网站使用了Diz论坛，PHPWind论坛，动易文章和PHPCMS

昨天上午用远程桌面连服务器（我不是专业网管），看进程的时候，突然发现一个非系统用户账户连接了服务器，因为我不太懂这个，又担心有问题，所以强行更改了此账户密码。
晚上我上服务器，居然发现又多了这个先前被我改了密码的账户，具体帐户名是XXXXX$这种形式的。
我用发送系统消息的方式联系了该账户，居然收到了回复，我问他是谁，他反问我是谁
这次我直接断开该账户连接注销了该账户，并删除了该账户包括账户文件夹。

今天早上一起来，再上服务器，发现桌面上被扔了一个文本文档，具体写着
我们是搞网络安全的!
因为发现你这台服务器存在严重的安装漏洞!前几天进来你都不在!
所以今天才留这个文本给你看!
如果可以的话.我们帮你维护服务器安全!你呢借用一点空间给我们使用!
时间大概是今早5点，20分钟后还修改了一次。
但是这次没有发现新建用户，估计他们已经留了后门。

我已经准备报警了，因为影响了我们公司三个子网站的运行。
目前已经停掉网站，备份所有资料。

有没有专业人士帮我分析下以上被入侵的情况，以及应当如何防范。

PS:另外有个疑问，在注销账户那里昨天还是“注销Administrator”，今早变成了了“注销ASPNET”，但是实际上还是Admin账户登录的。

看来是服务器漏洞，推荐你自己扫描一下漏洞再补上去，x-scan是不错的漏洞扫描工具

如果找不出是哪有漏洞,建议启用TCP/IP筛选,只允许我们开WEB站需要的80  21  25 110  3389,其他端口一律不开放.

很简单  反入侵 他入侵 你  你入侵他 把它搞垮  他就入侵不了你了

服务器的安全设置没有做好

还有动易文章是个问题

哈哈，遇到高手了哈

建议不要开asp的解析，要开asp的解析就不要装su，可写目录设置成不可执行，可执行目录不可写，具体设置可以联系我，QQ签名里有

动易组件不好！   

无意中路过,不懂,

安全很重要。x-scan是不错的漏洞扫描工具