Если у злоумышленника нет доступа к другому файлу, вероятно, в коде есть эксплойт, позволяющий пользователю выполнить произвольный код. Использование passthru (), exec () и eval () являются распространенными проблемами здесь. Если на той же машине работает FTP, это, как правило, сильный вектор атаки.
Я не уверен, что категорически исключил бы атаку SQL (особенно отраженную в сочетании с вышеупомянутыми эксплойтами), но также не ясно, будет ли она тоже.
На ваш вопрос, это может быть либо автоматический, либо личный таргетинг, сложно сказать с учетом уровня детализации. Как уже говорили другие, отключите как можно больше паролей, ограничьте доступ к серверу, а затем начните проверять журналы, чтобы увидеть, где что-то пошло не так. Это будет более успешным, чем разорвать само приложение.