Хозяйке на заметку: деактивировать все ключи доступа, учётные записи и пароли, не используемые в данный момент, даже если предполагается их использование через какое-то время.
У разработчика одного из сайтов увели пароль от фтп. Пароль действовал, поскольку предполагалось, что он будет осуществлять поддержку при необходимости.
Обошлось малой кровью: тупо ботом позаливали троянов в java-script-начинку битрикса. Добавили закодированную строку в конец каждого .js файла. Если бы не бэкапы, пришлось бы кому-то срочно осваивать sed, или ручками эти последние строки вычищать из ~400 файлов, разбросанных по дереву директорий.