Удаление перенаправления на антивирус на взломанной веб-странице

Ваш сервер был скомпрометирован / испорчен, поэтому я даю вам тот же совет, что и на аналогичном вопрос:

Обычно очень сложно воссоздать все действия злоумышленников, и лучшее решение - переустановить скомпрометированные серверы и восстановить все из резервных копий. С другой стороны, вам необходимо провести некоторую криминалистику, чтобы выяснить, что, возможно, произошло, и предотвратить повторение этого.

Вот список вещей, которые стоит проверить:

• посмотреть, есть ли известные уязвимости в вашем веб-сервере и версиях вашего ftp-сервера
• взгляните на все файлы журналов, которые вы можете, особенно на веб-сервер, ftp-сервер и системные. В файлах журнала веб-сервера проверьте наличие сообщений
• есть ли какие-то запущенные службы, которые вам не нужны? Доступны ли они из Интернета? Закройте их сейчас, проверьте их журналы и проверьте возможные известные уязвимости.
• запускать программы проверки руткитов. Они не безупречны, но могут вести вас в правильном направлении. chkrootkit и особенно rkhunter - инструменты для работы
• запустите nmap извне вашего сервера и проверьте, не прослушивает ли какой-либо порт что-то, чего не должно быть.
• Если у вас есть приложение для отслеживания тенденций rrdtool (например, Cacti, Munin или Ganglia), посмотрите графики и найдите возможные временные рамки атаки.

Кроме того, всегда помните об этом:

• отключите все службы, которые вам не нужны
• резервное копирование всего необходимого для восстановления сервера и регулярного тестирования резервных копий
• следуйте принципу наименьших привилегий
• обновите свои услуги, особенно в отношении обновлений безопасности
• не используйте учетные данные по умолчанию

Надеюсь это поможет!