Ciao dada, guarda i log del server, se non ne hai l'accesso chiedi al provider.
Cerca di filtrare risalendo alla data dell'attacco e alle operazioni sospette (tipo richieste POST).
Se hai trovato file sospetti cerca anche quelli nei log. Individuato l'autore (tramite indirizzo IP) controlla tutte le operazioni che ha compiuto.
Specifica la versione del sito in uso, e se per caso hai migrato da versioni precedenti.
in bocca al lupo