Ciao simoIO e benvenuto nel Forum GT.

Dipende dal tipo di attacco che hai subìto nel tuo sito.

Se non sono nel footer solitamente i link nascosti sono iniettati attraverso un piccolo script -di solito caricato in formato short url.

Il suggerimento del dump del database è giusto perché è la soluzione più rapida.

Se hai una shell via ssh il comando è mysqldump -u<nomeutente> -p <nomedatabase> > <nomefile.sql>
Digiti la password e troverai il dump in <nomefile.sql>.

Altrimenti se hai un accesso a phpmyadmin puoi usare la funzionalità apposita "Esporta".

Ti consiglio comunque, oltre al database, di controllare bene tutti i file del template in uso.