Сервер скомпрометирован, насколько глубоко вторжение, когда файлы PHP изменяются в папке без разрешений на запись

Я знаю, что было много подобных вопросов, но ни один из них не охватывал этот конкретный вопрос:

Я обнаружил почти все PHP-файлы на инъекциях скриптов клиентского сервера, на самом деле это был скрипт, упомянутый здесь: https://stackoverflow.com/questions/20658823/hacked-site-encrypted-code.

Теперь я знаю, что трудно определить точку входа, но есть несколько фактов, которые, я уверен, могут иметь смысл для кого-то, кто подходит лучше меня.

СИТУАЦИЯ

• Почти все файлы PHP были заражены

• Там была папка с некоторыми зараженными файлами, но у нее не было ЛЮБОГО разрешения для пользователя FTP, который я использую для загрузки файлов на сервер.

• Даже файлы, которые не доступны для просмотра или индексации в Google, были заражены

• в неиндексированной папке некоторые файлы были заражены, а некоторые нет. Те, кто не был инфицирован, скорее всего никогда и никого не вызывали

ВОПРОС

Принимая во внимание вышеупомянутые факты, вероятно, что весь сервер был взломан (apache, ...), или это скорее всего небезопасный сценарий PHP. Можно ли было даже увидеть такой сценарий, когда злоупотребляли только сценарием PHP?

Достаточно ли сейчас просто обновить скрипты PHP, удалить код вируса и надеяться, что сам сервер не взломан? (изменение учетных данных SFTP, конечно)

РЕДАКТИРОВАТЬ: КОММЕНТАРИИ О ДУБЛИКАТЕ

Как я уже говорил ранее, я ДЕЙСТВИТЕЛЬНО читал другие посты, мне НЕ нужно знать, как действовать, мне просто любопытно, какие файлы PHP изменяются внутри папки, которая НЕ доступна для записи пользователем FTP, и если это возможно с использованием скрипта PHP / MYSQL или только в том случае, если у злоумышленника был FTP-доступ или более глубокий доступ к серверу.