Вам необходимо предотвратить заражение компьютеров других посетителей сайта и не допустить его злонамеренного использования хакерами.

• Немедленно приостановите работу сайта. Сделайте все, что от вас зависит, чтобы вредоносное ПО не распространилось дальше.
• Обратитесь к провайдеру хостинга. Если атака затронула другие сайты этого провайдера, возможно, он уже начал устранять эту проблему.
• Смените пароли всех пользователей и аккаунтов (например, пароли для доступа к FTP, пароли аккаунта администратора и аккаунтов системы управления контентом). Проверьте своих пользователей, поскольку хакер мог создать новые аккаунты.

Если у вас есть доступ к серверу, настройте его так, чтобы он выдавал код статуса 503. Лучше временно закрыть сайт, чем блокировать его от сканирования с помощью файла robots.txt.

После блокировки сайта необходимо определить область и масштаб ущерба. Советуем выполнить следующие действия:

• Посетите страницу мониторинга безопасности веб-ресурсов для вашего сайта, чтобы узнать подробную информацию о результатах, полученных автоматическими сканерами Google или Яндекс.
• Проверьте свой компьютер обновленной антивирусной программой, чтобы найти и удалить внедренное вредоносное ПО. Проверьте весь контент (не ограничиваясь текстовыми файлами), поскольку вредоносное содержание часто встраивается в изображения.
• Запросите удаление всех лишних адресов, которые хакеры добавили вам на сайт.
• Сообщите о фишинговых страницах специалистам поисковых систем.
• Если у вас есть другие сайты, проверьте и их на предмет возможного взлома.

Если у вас есть доступ к серверу, выполните дополнительные действия:

• Проверьте, использовалось ли на вашем сайте открытое перенаправление.
• Проверьте файл .htaccess (если используете Apache) или другие механизмы управления доступом на наличие изменений вредоносного характера.
• Просмотрите журналы сервера, чтобы узнать, когда произошел взлом (но имейте в виду, что хакеры могут их изменять). Изучите подозрительные действия, например, неудачные попытки входа, поданные команды (в особенности от пользователя root), а также операции неизвестных аккаунтов.

Чтобы очистить сайт, удалите добавленные страницы, спам и подозрительный код, обнаруженный с помощью антивирусных программ или страницы «Вредоносные программы». Если имеются резервные копии контента, полностью удалите их и замените последней копией (предварительно проверив её на отсутствие постороннего содержания). Проверьте, насколько успешно выполнена очистка, с помощью инструмента Просмотреть как Googlebot в Search Console.

Если у вас есть доступ к серверу, выполните следующие действия:

• Установите последние версии программных пакетов. Рекомендуется переустановить ОС из надежного источника, чтобы полностью удалить любые изменения, которые могли быть внесены хакером. Кроме того, нужно переустановить или обновить блог-платформы, системы управления контентом и любое другое ПО.
• Убедившись в том, что ваш сайт очищен, смените пароли ещё раз.
• Возобновите работу сайта в Интернете. Измените конфигурацию своего сервера, чтобы он не выдавал код статуса 503, и выполните другие действия, необходимые для безвредной работы сайта.
• Если вы с помощью инструмента удаления URL блокировали адреса страниц, которые теперь очищены и могут быть показаны в результатах поиска, отзовите эти запросы с помощью того же инструмента.

Убедившись, что вредоносный код полностью удален, вы можете запросить повторную проверку своего сайта средствами поисковой системы.

Если вредоносное ПО не обнаружится, то в результатах поиска не будет отображаться предупреждение о вашем сайте.

После получения подтверждения о том, что ваш сайт очищен, предупреждение о наличии вредоносного ПО в результатах поиска может быть снято с вашего сайта в течение суток.