Você precisa descobrir como isso chegou.
- O invasor teve acesso ao sistema de arquivos por meio do sftp / scp?
- Se isso aconteceu, você precisa bloquear seus métodos de acesso remoto
- O invasor usou algum script de upload ou algum bug em um script existente que permitiu modificar arquivos?
- Corrija o script, altere as permissões em seus scripts e conteúdo da Web para que o processo do servidor da Web não possa alterá-los. O servidor web deve ser limitado a modificar arquivos em um diretório de dados em algum lugar. Seus scripts e arquivos geralmente não devem pertencer ou ser graváveis pelo servidor da web.
- O script veio como parte de algum software malicioso que você escolheu?
- Eu vi coisas assim incluídas como parte dos modelos do wordpress. Um usuário desavisado baixou modelos de algum site aleatório. Esses modelos incluíam a função para executar o código de um servidor da web externo. Isso combinado com configurações de permissão ruins permitiu que o invasor modificasse outras coisas.