Я ранее спросил этот вопрос на StackOverflow. Меня рекомендовали сюда за помощью. По этому вопросу есть еще несколько деталей.
Кто-то каким-то образом получил несанкционированный доступ к моему сайту. Они меняли исходный код PHP на сайте, чтобы внедрить рекламу Google. Моя база данных и другие сайты в плане хостинга кажутся не затронутыми, хотя у меня есть все резервные копии на случай, если они смогут получить более глубокий доступ.
Сайт размещен на общем хостинге, написан на PHP (версия 7.4) и работает под управлением Apache.
Хостинг-провайдер не помог. Рекомендуется изменить мои пароли (что я уже сделал: пароли FTP, CPanel и хостинга). Они утверждают, что у них нет никаких журналов в системе для проверки. Объявления по-прежнему повторно вставляются в код каждый раз, когда я их удаляю.
Внедренный код каждый раз разный и, похоже, не сгенерирован компьютером, поэтому я уверен, что изменения вносит реальный человек с доступом к системе, а не вредоносное ПО.
По рекомендации одного из ответов StackOverflow я сканирую сайт на наличие уязвимостей с помощью Arachni. Это сканирование длилось около полутора часов и все еще продолжается, но пока ничего полезного там не обнаружено.
Мне нужно выяснить, как злоумышленник получает доступ для изменения моего исходного кода. У меня нет идей, где искать. Как я могу определить, как злоумышленник получает доступ к серверу, чтобы я мог отключить его?
Вероятно, ваш PHP-код уязвим для внедрения PHP-кода. Видеть ссылка на сайт для банального примера. Как предлагает Лекс Ли, следующим шагом будет независимая проверка вашего кода.