Для начала посоветовал бы проверить включено ли логирование в access и error логи веб сервером. Если включено и знаете примерное время применения инекции изучите их.
Скорее всего найдёте скрипт в котором дырка. Ну а дальше дело за малым - патчинг этого. Но так вы сможете прикрыть только дырки которые юзались и вы заметили.