Как решить проблему — взломали хост был отключен за вредоносную активность?

Случилось страшное. Прекрасное зимнее утро среды не предвещало ничего плохого.
Вдруг сайт, на котором я типа админ (по принципу — тыжпрограммист), перестал радовать посетителей, т.е. совсем.
В это же время на почту прилетел гонец от хостера с депешей:

== страшный тест письма ==

По всей видимости, Ваш сервер или сайт размещенный на нем был взломан. На площадке
хостинга зафиксирована вредоносная активность:

[ где ХХ.ХХХ.ХХХ.ХХХ ip нашего сайта ]

13:27:13.278186 IP ХХ.ХХХ.ХХХ.ХХХ.40127 > 122.228.245.142.7000: S
2629776205:2629777101(896) win 65535
13:27:13.278213 IP ХХ.ХХХ.ХХХ.ХХХ.65054 > 122.228.245.142.7000: S
4263419981:4263420877(896) win 65535
13:27:13.278213 IP ХХ.ХХХ.ХХХ.ХХХ.6989 > 122.228.245.158.7000: S
458073456:458074352(896) win 65535
13:27:13.278244 IP ХХ.ХХХ.ХХХ.ХХХ.8540 > 122.228.245.142.7000: S
559742076:559742972(896) win 65535
13:27:13.278246 IP ХХ.ХХХ.ХХХ.ХХХ.18621 > 122.228.245.158.7000: S
1220366449:1220367345(896) win 65535

[ и далее, подобный список на пару страниц ]

/boot/ifgqeseikc

Обратите внимание, что приведенный список может быть неполным, обязательно проверьте файлы
Вашего сайта самостоятельно или обратитесь к его разработчикам. Также настоятельно
рекомендуем проверить скрипты сайта на наличие уязвимостей, через которые на хостинг мог
попасть вредоносный контент.

В настоящее время VPS [наш сайт].hc.ru остановлен до реакции с Вашей стороны.

== конец страшного текста ==

На сколько хватило моих скудных знаний, наш уютный сайт стал домогаться до другого ресурса в злобных интересах вредителя.

Давно собирались сменить хостера, т.к. у ХостингЦентра довольна забавная техподдержка и критические вопросы решались только через Босса.

В качестве нового пристанища выбран DigitalOcean, на котором следуя описаниям поднят почти работающий сайт.

Теперь, стоит задача — крайне желательно забрать последние данные базы данных и загруженные фото.

Админ хостинга из меня на уровне — прочитал, что сделать, ввел точно указанную в инструкции команду.

Выдергивая последние волосы прошу совета и помощи!

Что нужно сделать, что бы отключить зловреда и успеть забрать несколько гигобайт данных?

Последние сохраненные данные за конец октября и крайне желательно их обновить. Сайт социальной направленности, с посещаемостью около 5 тысяч человек в сутки, на котором активно решались в том числе и юридические вопросы, поэтому вопрос актуальности важен.

Огромная просьба, не просто ответить — «посмотри процессы, отключи чужих демоны», а ткнуть носом что и как сделать.

На хостинге стоит CentOS и панель Plesk.

Нет комментариев