Файл PHP взломан

Недавно один из файлов, который выполнял обработку платежей, был изменен хакером. Он добавил строку кода, чтобы получить копию информации о карте. Сайт в безопасности от XSS/SQL Injection атаки.

1. Файл находится в /var/www/html и в папке 777 разрешений
2. Файл тоже имеет 777 разрешений, я подозреваю, что это тоже было изменено хакером.
3. Хотя файл был изменен в апреле 2014 года, отметка времени показала, что он был изменен только в декабре 2012 года.

Значит ли это, что кто-то получил доступ через ssh/ftp и изменил его, не влияя на статистику файла? Или это через что-то вроде HTTP PUT? Каковы возможности? Есть идеи?