Site hacké

Bonjour

Un de mes sites hébergé en mutualisé sous ovh s'est fait hacké malgré que tous les modules et le core soit à jour. Merci à ovh qui a d'ailleurs bloqué le site avant que le carnage n'aille plus loin.
Voici l'attaque que j'ai subi, j'ai retrouvé de nombreux fichiers créés ou des originaux modifiés dans divers répertoires avec des instructions eval. Lorsque je consulte les logs ou watchdog de drupal l'adresse ip de l'attaquant est tournante, donc difficile de la bloquer... Après vérification des logs, l'accès ne s'est pas fait par ftp, donc il existe une faille... Pas d'email envoyés à priori.

J'avais déjà pris de nombreuses dispositions :
- fine gestion des droits utilisateurs et de la création de comptes (comptes bloqués par défaut, module honeypot)
- gestion des formats de texte, texte brut pour tout le monde sauf l'administrateur, pas d'accès php
- pas de commentaires sur le site
- redirection d'url
- backup & migrate
- webform validation
- database logging
- content access

Je viens d'installer hacked et security review mais ce dernier m'a posé des problèmes. J'ai essayé de modifier les droits des répertoires comme indiqué mais ça me planté le site car les fichiers étaient donc indisponibles...

J'ai réussi à remonter le site aujourd'hui mais j'ai vu que le hacker faisait des tests ce soir... J'ai bloqué les ip en même temps que lui, il s'est arrêté, je ne sais pas si c'est parce que les fichiers n'était pas dispo ou parce que j'ai bloqué les ip. J'ai peur qu'il recommence quand j'aurais le dos tourné...

Je viens de lire un article sur la sécurité de drupal, il me reste à :
- revérifier les droits pour chacun des répertoires,
- vérifier fichier htaccess et robot.txt
- supprimer les fichiers d'installations
- mettre en place un rapport par email

D'autres idées?

Merci