Um de nossos clientes foi afetado da mesma forma, os arquivos foram enviados por meio de solicitações POST para o URI / plesk / client @ {número do cliente} / domain @ {número do domínio} / hosting / gerenciador de arquivos / arquivo de criação
Eles são, creio eu, invocados por uma solicitação da web que geralmente inclui o alvo e o tipo de ataque (SYN flood etc).
Para evitar que isso aconteça novamente, verifique se você está executando a versão mais atualizada do Plesk, certifique-se de que todas as senhas sejam strongs e, o mais importante de tudo - garanta que você não tenha vulnerabilidades SQL em nada nesse servidor. O Plesk armazena as senhas de usuários em texto simples, portanto, se um invasor puder executar SQL arbitrário, ele poderá recuperá-lo, fazer login e fazer upload de arquivos.