Probablemente sea demasiado tarde para el servidor tal como está ahora. Hay varias formas diferentes en las que un atacante podría ocultar formas en su sistema, por lo que su acción más segura es considerar que tienen acceso. han copiado los datos en el sistema que querían, y son libres de cargar lo que quieran en cualquier sitio web del servidor. Restaure a una copia de seguridad del sistema reciente (no solo a los archivos del sitio), luego trabaje para protegerla o tome una copia de los archivos del sitio, limpie y reconstruya el servidor, luego cargue los archivos del sitio después de revisarlos manualmente de forma individual. Puede parecer mucho trabajo, pero cualquier otra opción te deja abierto para ser atacado de nuevo.
Hay varias formas de evitar que los atacantes puedan acceder a más de un sitio a pesar de que estén alojados en el mismo servidor; puede mirar contenedores virtuales (donde cada sitio se ejecuta efectivamente en un servidor separado) o implementar un control de acceso sólido. niveles (por lo tanto, si se infringe una cuenta de usuario específica, solo pueden escribir en archivos dentro de sus carpetas designadas), sin embargo, depende mucho de sus requisitos. Tenga en cuenta que, en la mayoría de los casos, el usuario del servidor web debe poder leer los archivos para que se sirvan, por lo que si un atacante tiene el control de ese usuario, podrá leer cualquier cosa dentro de las carpetas del sitio web, si es que es un problema, debe observar la separación a nivel del sistema operativo a través de algo como Docker, aunque la configuración para una configuración en contenedor es más compleja que los hosts virtuales Apache / nginx.