Mi tema lo dice todo. No tengo ni idea de cómo un archivo con permisos 0644 puede seguir recibiendo inyecciones de iframe. Ninguna de las publicaciones en este sitio que vi describió lo que estoy experimentando. Cada dos días aproximadamente, se inyecta un iframe en algunos archivos con permisos 0644. Así como creo que lo tenemos cubierto, vuelve a suceder.
Hemos buscado en la base de datos los intentos de inyección de XSS o SQL almacenados, y no encontramos nada que corresponda a colocar un iframe en estos archivos, a menos que esté muy confuso.
Mi pregunta es: ¿Cómo puedo detener esto?