Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či volal tvoju ip. Ak nie tak je to jasné

Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z access logu ti spraví štatistiku ktorá url sa ako často volá, aké statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala vec, budeš posielať e-maily alebo iné veci.