Due possibilità, con alcuni Ifs .
Possibilità 1:
- Dai un'occhiata ai timestamp creati sui file dannosi (supponendo che siano file separati); o timestamp dell'ultima modifica (se il malware è stato iniettato in uno dei tuoi file).
Se hai accesso ai log di accesso del tuo server web (a seconda del piano di hosting e del fornitore di servizi, la posizione, il nome e il metodo per ottenerli saranno diversi); e
Se si dispone di tali registri per l'intervallo di tempo in cui tali file sono stati creati / modificati; poi
- Cerca tra quei log per i messaggi PUT o POST indirizzati a quei file.
Dato che hai già citato webalyzer, probabilmente lo hai già fatto. Spero che il restringimento che ho menzionato potrebbe aiutare; o l'uso di un altro strumento (anche una ricerca manuale attraverso i registri) potrebbe identificare ciò che viene perso.
Possibilità n. 2:
Alcuni plugin per la sicurezza di wordpress (non tutti) creano log separati che puoi scavare. So che il servizio di Sucuri fa questo; e probabilmente anche WordFence. Ho un prodotto che fa questo ( ActiFend ) anche se i registri sono memorizzati sui nostri server.
Se stavi usando un qualsiasi di questi plugin -oppure qualsiasi altra soluzione di registrazione remota, tu o qualsiasi analista della sicurezza sarebbe in grado di scavare attraverso di essi per avere un'idea dell'IP address (che non è lo stesso di chi l'ha fatto , ma è ancora qualcosa).
Per il futuro: essere preparati è la chiave. Se accetti di essere hackerato in un determinato momento o nell'altro, dovrai configurare sia il monitoraggio remoto che il ripristino.