Seu site foi comprometido / desfigurado e, quando isso acontece, normalmente é muito difícil recriar todas as etapas dos invasores, e a melhor solução é reinstalar os servidores comprometidos. Por outro lado, você precisa executar alguns exames forenses para descobrir o que possivelmente aconteceu e impedir que isso aconteça novamente.
Aqui está uma lista de coisas que vale a pena conferir:
- veja se há vulnerabilidades conhecidas em seu servidor da web e suas versões do servidor ftp
- dê uma olhada em todos os arquivos de log que você puder, especialmente no servidor da web, no servidor ftp e no sistema. Nos arquivos de log do servidor web, verifique se há postagens
- existem serviços em execução que você não precisa? Eles são acessíveis da Internet? Encerre-os agora, verifique seus registros e verifique possíveis vulnerabilidades conhecidas.
- execute verificadores de rootkits. Eles não são infalíveis, mas podem levá-lo na direção certa. chkrootkit e especialmente rkhunter são as ferramentas para o trabalho
- execute o nmap de fora do seu servidor e verifique se há algo escutando em qualquer porta que não deveria estar.
- se você tiver um aplicativo de tendências rrdtool (como Cacti, Munin ou Ganglia), dê uma olhada nos gráficos e procure um possível período de tempo do ataque.
Além disso, mantenha sempre em mente:
- encerre todos os serviços de que você não precisa
- backup de tudo o que você precisa para reconstruir seu servidor e testar backups regularmente
- siga o princípio de privilégio mínimo
- atualize seus serviços, especialmente em relação a atualizações de segurança
- não use credenciais padrão
Espero que isso ajude!