Восстановите свой сайт из резервной копии.
Поставьте сервер в автономный режим или доставьте статическую HTML-страницу, информирующую посетителей.
Узнайте, что было изменено / затронуто.
Найдите утечку информации о вторжении.
Если злоумышленник получил доступ root / admin, единственным вариантом является переустановка серверной ОС.
Устраните утечку вторжений.
Установите самые последние обновления для всех используемых программ, модулей, скриптов.
Если у вас есть база данных с разумной информацией, такой как данные пользователя или данные входа в систему:
Проверьте, имел ли к нему доступ злоумышленник.
Если это так, сообщите своим пользователям по почте, что данные, возможно, были утечены и какие именно.
Если пароли или хэши были сохранены в базе данных, сбросьте их.
Восстановите содержимое веб-сайта из резервной копии, которая, как известно, не изменена.
ЗАПИСКА:
Все вышесказанное только с нуля и может быть неполным.
Ну а поскольку мы вообще ничего не знаем о том, что этот человек сделал с вашим сайтом, вам остается только восстановить его из резервной копии.
Вы сделали резервную копию своего производственного сайта, не так ли?