PHP服务器安全问题

我单位的服务器是php+win2003+mysql+apache组合。
近段时间，网站的首页index.php底部频繁被人加入了一些友情链接代码。去掉了，又有，而且是每天整一两次。平时因为需要经常修改网站首页，目前FTP帐户只有两个，一个是美工的，一个是程序的。都是通过FTP软件更改。
请问应该如何设置，才不会被其他人改网站代码呢。
通过查看文件修改时间，似乎没有异常，不知那些莫名期妙的友情链接代码是怎么弄上去的，服务器没有安装杀毒软件也没有打补丁，因为本人接手此工作不久，担心乱打补丁或是装杀软什么的，会影响到服务器的正常访问。
这段时间快被这些莫名其妙的友情链接代码搞疯了。

昨天晚上已经用360安全卫士打补丁，同时查杀木马，全盘查也没查到木马呀。在相关论坛有人建议把USER用户组的权限给关了，然后我就把创建文件与写入权限比毙了，今天删掉了那些链接，可是到中午又出现了。关于代码漏洞，估计会有不少，因为是别人写的，而且很明显没有经过多少测试，刚接手时，简直惨不能睹，很多都有问题。外加我做PHP这行也不久，现在主要做功能修复这一块，至于代码安全与漏洞修复方面，还比较吃力。请问zhangsong066 ，网页文件对apache为只读，对ftp帐号可写，应该怎么设置，在哪里设置呢。

1. 检查程序漏洞
2. 网站文件对apache为只读，ftp帐号仍然可写。

很可能是你的数据库名字和你的本地不一样你连接数据库一般虚拟主机连接mysql的后面要你加上：90的端口。检查下你是不是还的写个localhost

建议改装成linux服务器,windows的服务器管理不当的话,容易受攻击. ========= 你可以晚上安装补丁或杀软啊.

如果是服务器被人入侵的话，可以往所有的脚本文件中插入恶意代码，建议你安装杀毒软件，对所有的系统文件进行查杀，之后对系统账户进行检测，查找是否是有奇怪的账户，然后修改所有用户密码。ftp也要修改账户密码。之后再检查数据库里面，设置网站的数据库用户只能本地访问，然后修改账户密码。再看看如何