elimina los formularios y ademas mira el log luego mira los ip y bloquea los que creas que son sospechosos, pero tambien elimina las imagenes
o bajalas y analizalas a ver si tienen shell...
por algun lado entra el tio o llama a tu host... habria que mirar o analizar todo... tambien puede ser que simplemente ingrese por la barra del navegar deberias colocar un archivo httaccess con la siguiente linea de codigo :
Código PHP:
RewriteEngine On
Options +FollowSymLinks
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(-|.|') [OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR]
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]
RewriteRule .* - [F]
Esto evitará montones de ataques de inyección html o inyección sql, evitará que incluyan código encriptado en tu sitio via html y que utilicen cookies para acceder a tu sitio maliciosamente.
tambien coloca esto:
Código PHP:
RewriteEngine On
RewriteCond %{QUERY_STRING} ^.*(<|>||"|\.\.\/|%00|%0A|%0D|%3E|%3C|%27).* [NC]
RewriteRule . http://www.google.com [L]
cualquier intento de hack sera enviado a google
pero no te quedes solo con esto, analiza tu codigo ya que es mas fiable hacer un codigo que genere errores y almacene los errores en algun log para saber quee sta sucediendo, ademas puedes autobloquear ip cuando se llegue a un determinado numero de errores, o tambien autobloquear a un ip cuando ingrese un codigo malicioso en la barra del navegador, pero esto ya sera mas complicado ya que debes tomar el IP real del tio por mas que este detras de un proxy ....
pero antes de implementar esto mria que todos tus carpetas y archivos no tengan permisos de escritura 777
en fin el tema es amplio .....
seria mas facil ayudarte si das la urls de tu pagina y si pegas el codigo que aparece para saber de que se trata...
saludos!!!