Dado que usted mismo no tiene acceso a la raíz, considero que este compromiso está restringido a su propia cuenta. De lo contrario, el propietario del servidor probablemente ya se habría ocupado del problema.
Probablemente, la mejor manera es atacar el sitio y configurarlo de nuevo, pero solo después de comprobar cómo entró el atacante y asegurarse de que ya no sea posible.
La mejor manera de verificar dónde está comprometido exactamente su servidor es comparar todos los datos con una buena versión conocida. No conozco su configuración, pero es común realizar el desarrollo del sitio en un sistema local y luego reflejar los datos en el sistema remoto. Por lo tanto, debería ser posible comparar estas dos versiones o simplemente restaurar el sitio desde su copia local. No es necesario que compruebe también si existen archivos de forma remota que no existen localmente.
Si, en cambio, ha realizado todos los cambios en el sistema de producción y no tiene copias locales, lo lamento mucho, ya que esto significa que debe mirar todos los archivos y ver si difieren de lo que usted hace. recuerda. Los tiempos de modificación de archivos pueden ser un indicador de un cambio, pero no son confiables, ya que pueden configurarse fácilmente en otros tiempos (también más antiguos) sin necesidad de privilegios especiales.
Además, puede haber cambios en la base de datos. Si su aplicación web crea dinámicamente HTML basado en fragmentos en la base de datos, entonces tiene que revisar todos los registros para detectar anomalías.
Si tiene acceso a los archivos de registro del servidor, estos también son una buena fuente cuando se busca un comportamiento anormal, pero depende de usted saber cómo funciona su sitio y qué se consideraría anormal.
Y, finalmente, su sitio puede ser vulnerable a los ataques de inclusión de archivos remotos (RFI). En este caso, no encontrará muchos rastros en su sistema local, ya que los archivos utilizados en el ataque pueden residir en un sistema remoto. Por lo tanto, asegúrese de que su aplicación web es segura. Debes hacer esto de todos modos porque, de lo contrario, es muy probable que te vuelvas a comprometer rápidamente.
Tenga en cuenta que simplemente buscar malware conocido no es suficiente porque incluso pequeñas modificaciones en el malware existente dejarán el malware en funcionamiento, pero ya no lo encontrará más.