Se sono stati in grado di autenticarsi su Google Search Console, significa che avevano, almeno per un certo periodo, il controllo del tuo sito web.
Se l'hacker fosse stato utile, avrebbe immediatamente configurato un accesso alternativo per tornare nel tuo sito (forse una sorta di backdoor, preferibilmente non facilmente rilevabile).
Ho visto almeno una volta un'istanza in cui gli hacker hanno preso il controllo di un sito web, hanno pubblicato annunci di viagra, caricato codice di click-fraud e persino malware ospitato da un po 'di tempo sul sito. Per quel periodo, hanno usato tecniche di blackhat SEO per promuovere il sito (in particolare i collegamenti che volevano) - che è stato il modo in cui il dentista (la vittima) ha scoperto l'hack in primo luogo. Un amico gli ha chiesto perché il suo sito è nei risultati di ricerca per le cose più strane.
Ma quasi tutti sanno che Google informerà il proprietario del sito quando viene aggiunta una nuova email alla gestione del sito, quindi nel tuo caso non ha senso, ma si spera che la mia risposta ti doni qualcosa da iniziare.
PS: dovresti cercare cos'altro avrebbe potuto fare l'hacker mentre era in controllo - soprattutto i modi alternativi in cui possono tornare indietro. Se hai un modo di registrare eventi in remoto, è una cosa grandiosa fare, anche se è un po 'tardi ora. Verrai a sapere cosa sta facendo l'hacker sul tuo sito se / quando restituiscono.
PPS: il mio prodotto ActiFend è stato creato per uno scopo diverso, ma può eseguire il logging remoto + abbiamo cruscotti di analisi della sicurezza internamente; quindi se non sei in grado di fare progressi, fammi sapere (tramite l'app o semplicemente scrivi a support at actifend dot come) e vedremo che possiamo usare le nostre costolette per trovare qualsiasi ago sfuggente per te. Questo è solo per mia curiosità, quindi non è necessario alcun acquisto. :)