По своему опыту:
Если .htaccess и index.php после изменения сразу восстанавливаются, то сервер ребутить необязательно, нужно найти процесс(ы) хакера и убить их:
user - это под кем работает сайт. Нужно искать процессы с файлами типа lock360.php, lock666.php и т.п. (где-то был их список). Потом по id процесса:
Еще, имхо, зараженные файлы лучше не удалять, а чистить и блокировать. Есть такой атрибут неизменяемости:
проверить:
| Код |
|---|
lsattr <file>
----i---------e------- <file> |
После этого файл изменить никто не сможет. Владелец останется прежним. Снять атрибут можно так:
Если есть сомнения, то можно все в файле закомментировать и сделать его неизменяемым.
