Nieautoryzowane odwołania do strony internetowej - SSI ? Jak się zabezpieczyć?

Od jakiegoś czasu borykam się z dość dziwnym i nowym dla mnie zjawiskiem.

Na samym początku zaniepokoiło mnie pojawienie się na ftp katalogu o nazwie wp_admin z dziwnym plikiem .txt
Dodam, że strona nie korzysta z wordpressa.
Dodatkowo plik index.php również został zmodyfikowany i wstrzyknięty do niego złośliwy kod (jakieś krzaczki na samym początku).

Oczywiście przy takiej procedurze podjęte zostały następujące kroki

1. zmiana dostępu do ftp
2. całkowite usunięcie panelu CMS (aby wykluczyć włam i atak od strony systemu zarządzania) - choć w logach żadnych podejrzanych akcji logowań nie było.
3. usunięcie wszystkich "nieautoryzowanych" plików, które zostały dodane

Niestety mimo tych wszystkich zmian, następnego dnia sytuacja znów się powtórzyła.
Analizując logi z odwiedzin (wywołań witryny) okazało się że są ich dziesiątki tysięcy i co więcej nadal się pojawiają.
Wywołania następują do jakichś plików .shtml - ale takowe na ftp nie istnieją

Tutaj screen jak to wygląda:

Teraz pytanie do was. Czy ktoś miał do czynienia z czymś podobnym?
Jak się przed tym zabezpieczyć/bronić i jak wyeliminować ten proceder dla tej witryny, która obecnie jest atakowana.

Blokada po IP nic nie da. Większość odwołań jest z randomowych adresów IP. Myślałem żeby jakoś zablokować dostęp do plików .shtml - ale nie bardzo wiem jak.

Dodatkowo nie mam pojęcia z czym się aktualnie mierzę. Co to za odwołania i do czego służą?

Za każdą radę, sugestię, czy nawet przekierowanie do jakiegoś pomocnego artykułu będę wdzięczny.

Wygląda na masowe testowanie wszelkich możliwych podatności.
Może poza samym CMS-em w stronie są jeszcze jakieś dziury? Jakieś formularze? Parametry pobierane z adresu i przetwarzane dalej bez filtrowania?
To w ogóle jest jakiś autorski skrypt, czy strona stoi na którymś z popularnych silników?

CMS autorski. Z analizy logów prób logowania nic podejrzanego nie da się wywnioskować
Nie ma ani błędnych prób, ani wpisywane dane - te błędne - (login) nie są podejrzane.

Formularz jest, ale jest on filtrowany. Zarówno pod kątem poprawności danych jak i znaków specjalnych.
Dodatkowo wszystkie dane z formularza są tylko przekazywane na email (nie są nigdzie przechowywane).

Sam fakt odwołań do plików to temat na później. Polecą bany na IP przy próbie dostępu do plików *.shtml
Najbardziej ciekawi mnie pojawienie się katalogu na FTP. wszelkie funkcje typu exec są serwerowo wyłączone.
Myślałem, żeby jeszcze do robots.txt dorzucić blokadę dla katalogu wp_admin.

Pytanie jak można te odwołania wyeliminować. Na 100% są to zapytania od botów.

Gdzieś musi być dziura, bo katalogi same się nie robią.
Jak nie w waszym kodzie, to może gdzieś w samym hostingu?

Skoro to samoróbka to mogą być dziury/ew ten tworzący się katalog to najprawdopodobniej efekt przeszczepionej wtyczki z wp...

Ja kiedyś miałem coś takiego, gdy na hostingu było zbyt słabe hasło do FTP, gdy już pozmieniałem na odpowiednio skomplikowane - jak ręką odjął!