Есть так много всего, что могло бы произойти. Кто-то каким-то образом проник в что-то, что было обработано eval () через параметр, внешний скрипт, который был выполнен. Может быть, при передаче чего-либо на ваш сайт через ftp кто-то прослушал ваш пароль, и этот список продолжается вечно ... Я бы предложил отключить сайт, проверять журналы и сравнивать их с отметкой времени файлов, которые были изменены / созданы последними. Если у него был доступ к вашим php-файлам, он наверняка взял с собой дамп mysql. Я думаю, что вам нужно изменить все пароли пользователей и, возможно, проинформировать пользователей. В общей среде с плохими проверками безопасности он мог даже использовать дыру в безопасности на другом сайте. В любом случае вам следует проконсультироваться с вашим системным администратором.
Кстати, изменение разрешений часто ничего не меняет. Атакующий может просто поменять их обратно, если он уже что-то змеил.
Какое программное обеспечение вы используете, что-то самостоятельно сделанное?