저도 초짜라서 제 답이 정확하지 않을 수 있습니다만.. 아파치 로그 확인 해보셨나요?

로그를 확인 해보면 해커가 어디로 침입하는지 알 수 있을 것 같은데요.

해커가 로그를 매번 지웠다면 난감하겠지만..

FTP 정보도 주기적으로 변경 했음에도 불구하고 이와 무관하게 접근을 한다면 서버에 웹쉘이 업로드 됐을 가능성도 있을 것 같네요.

웹쉘 업로드가 맞다면 웹쉘 탐지 관련 솔루션을 알아보는 것도 한 방법인 것 같습니다..

이런 경우를 저도 한번 당해봤는데, 증상이 비슷해보이네요.

바이러스 검사를 해보시는걸 권유합니다.

일반 백신으론 감지를 못해서 어베스트를 설치를 해서 치료를 했던 기억이 나네요.

컴퓨터가 오염이 되어있으면 비번을 아무리 바꿔도 바로 해킹이 되어 버리더군요.

owasp(www.owasp.org )를 참조 하셔서, 보안코딩을 하시길 바랍니다.

증상을 보니 웹페이지 관리자 권한 상승 실행 공격을 당하신거 같습니다.

1. 중요 데이터를 백업 후 서버를 포맷을 하여, 다시 정비하시고요.

2. 웹페이지를 owasp 가이드 기준으로 보안코딩을 합니다.(보안코딩이 확실한 경우 웹방화벽은 사실 필요없습니다.)

3. php 소스코드가 방대해서 보안코딩을 못할경우 서버 앞단에 웹방화벽을 설치 하셔야 합니다.

딱한 사정이기는 한데,

서버가 리눅스인지, 윈도우 인지에 따라서 대응 방법이 달라질 수 있는데,

표시가 없으니, 아쉽고...

포맷하고 난 뒤에 다시 또 그렇다면,

제가 생각하건데,

SQL Injection 방식의 해킹이 된 거 같습니다.

데이타베이스 테이블 안에 해킹 코드가 들어가 있어서,

포맷 이후에 DB 복구하고 나서,  

글 읽기 또는 글 쓰기만  하여도 해킹 코드가 작동되는 원리입니다.

예전에 그런 형태의 해킹을 발견하고, 재구축해준 적이 있습니다. 

DB를 세밀히 살펴보시기 바랍니다.