Как узнать откуда вирус на хостинге и что он делает?

На хостинге объявился вирус. Обнаружил случайно, заливал верстку для клиента (html, css, js) на тестовый сайт на хостинге и увидел, что в папке лежат php файлы. Сначала думал, что может какой-то пакет в npm создает в различные промежутки времени при билде вирусные файлы, которые по привычки копируются и отправляются на сервер. Сборку делаю gulp'ом

Судя по таймингу в 18 часов первый этап, в 21 второй этап. Вполне возможно, что в 18 я заливал, но в билде ничего нет (его же отправил в гит). Через сутки хостинг лег с ошибкой 500 и использованием 400 МБ оперативной памяти.

Вирус притворяется файлами Wordpress. На хостинге есть один сайт на Wordpress, но обновлен и без плагинов, думаю вряд ли это он. Сейчас случайно проверил сайт через pagespeed, он показывает какой-то другой сайт (хотя по факту сайт нормально открывается)

Что может быть за напасть? Как ее лечить и главное как избежать в дальнейшем?

Рабочая машина на MacOs