> gatespace さん
ありがとうございます! 追えそうなログや、パスワード系など変更できそうな所はおこないました。 まだ原因の特定には至って折りませんが調査を続けています。ブログ参考に致します、ありがとうございます。
>Hinaloe さん
>Daisuke Takahashi さん
ご回答ありがとうございます。危険なコードであるため、全てを公開することは辞めようと思います。
>Seisuke Kuraishi さん
ありがとうございます。サーバについては私がAWS上に作った物で、sshの鍵認証を行ってログインしています。ただこのような事態に陥ったことがなくどのように調査を行っていいのかわかりません。
侵入経路の調査を実地してようと思います。
改竄されたファイルの特定はindex.php(各ディレクトリ)のみのようです。編集された時間は機能のAM3時頃です。
直近のバックアップからのクリーンな状態への復旧(可能であれば) >> こちらバックアップを取っていないので、今はできませんでした。
皆様、色々とアドバイスありがとうございます。このような事態は初めてで非常に混乱しておりますが、色々とググりながら調べてようとおもいます。なにか分かった事があればご報告させていただこうと思います。