Удаляют файлы сайта или заражают их

Привет, я со стороной защиты и взлома не очень знаком, поэтому хочу спросить у знающих на что стоит обратить внимание.
Мой сайт стоит на 1-ой ветке и обновлен до последнее версии.
В последнее время с заметной периодичность на сайт заражаются или удаляются файлы, которые влияют на работу сайта. Ну по моему они просто блокируются сервером, так как в них появляется код, как мне объяснили в поддержке когда. Сначала в корне index и .htaccess заражался, потом cms.php, теперь в папке includes config.inc улетел. И так почти каждое утро в одно и тоже время сайт из за этого не доступен.
Подскажите в чем проблема в сервере или у меня вирус, хотя я в самом сайте ничего не делаю долгое время только заливаю контент.

Подскажите в чем проблема в сервере

Сложно так сказать, слишком мало данных. Что говорят логи?
Если гадать, то попробуйте поменять все данные (пользователя и пароль) на базу, ftp и т.д. предварительно проверим ПК антивирусом. Если у вас стоит антивирус, но проверить надо чем-то сторонним, например, скачать: Dr.Web CureIt!
И не забудьте посмотреть или заменить файлы на сервере. Где-то может лежать шелл.
Далее все равно (но лучше сразу) смотреть логи. Как был осуществлен доступ.

Подскажите в чем проблема в сервере

Сложно так сказать, слишком мало данных. Что говорят логи?
Если гадать, то попробуйте поменять все данные (пользователя и пароль) на базу, ftp и т.д. предварительно проверим ПК антивирусом. Если у вас стоит антивирус, но проверить надо чем-то сторонним, например, скачать: Dr.Web CureIt!
И не забудьте посмотреть или заменить файлы на сервере. Где-то может лежать шелл.
Далее все равно (но лучше сразу) смотреть логи. Как был осуществлен доступ.

А там будет отображаться, кто заходил и что делал или там надо будет еще очень сильно поковыряться?

А там будет отображаться, кто заходил и что делал или там надо будет еще очень сильно поковыряться?

Там можно посмотреть многое. Например, как собственно заносится вредоносный код. Через что идет взлом. Если конечно злоумышленник не стирает эти логи. Сложно так сказать. Скрипт дырявый, плагины, доступ есть, через соседние сайты тут много вариантов.

Минимальные меры — 1. проверить свой комп, 2. поменять все пароли, 3. почистить сам сайт, чтобы не было там файлов, через которые можно зайти (шелы). Последний пункт видимо самый сложный. По логам можно посмотреть обращение к каким файлам идет. Обычно когда ломают, шел заливают глубоко, глубоко в папки, чтобы иметь "резервный доступ".

P.S. если не получится избавится (но все же советую сделать то, что писал — тщательно) выйдите на меня в ЛС, например. Попробую помочь.

Всем спасибо!