[foks]

Kolla när filerna ändrades och kolla sedan i accessloggarna om det finns någon request som matchar den tiden. Har intrånget gjorts via säkerhetshål i script lade hackern garanterat upp något shellscript som användes för att infektera filerna, och som ligger kvar på kontot.

Hittar du inte något för den tiden är det antagligen FTP-uppgifterna som blivit kapade, då kan webbhotellet bekräfta det (om du inte själv har tillgång till FTP-loggar).