как найти, кто, выполняют злонамеренное действие в общем хостинг-сервере
хорошо - если можно выполнить команду phpinfo этот путь [через некоторую уязвимость в php, что код evals, предоставленный URL] - это может также использоваться, чтобы загрузить некоторый двоичный файл и выполнить его или возможно включать код от удаленного сервера.
так или иначе - на вашем месте - я не только принял бы меры, видя phpinfo в URL, но также и любых 404-получающихся запросах к phpmyadmin / pma / другие популярные веб-сценарии.
все еще - не забывают сканировать регулярно, какое программное обеспечение Ваши пользователи установили для предотвращения устаревшего phpbbs/phpmyadmins и других. и защитите свой сервер - смотрят здесь и здесь.
Если сценарии PHP запускаются с вашего веб-сервера (в отличие от командной строки, что также возможно), вы должны найти соответствующую информацию в своих файлах журнала для веб-сервера.
Сделайте резервную копию образа сервера (если это виртуальная машина, это легко сделать). Сохраните и проанализируйте свои журналы apache, messages, auth, ftp. Проверяйте логины непосредственно перед временем в журналах. Искать файлы / скрипты с временем, равным той же дате или более поздней.