Cmq siamo sull'olrlo dell'OT, qui si parla di php puro, se vuoi continuare a discutere ti consiglio di suggerire al moderatore di spostari nella sezione CMS
Non credo di essere OT, non ti sto parlando di CMS, il fatto che il mio sito si basi su joomla era la risposta alla tua domanda, quello che sto chiedendo è se esiste un tool in grado di capire se ci sono delle falle nel php e dove

è possibile che siano i contenuti nel db fallati? visto che prima le query non venivano controllate, magari nei testi del sito (che sò, commenti degli utenti o cose varie) è stato introdotto codice malevolo
No, non è possibile, i malware non sono inseriti nel db, ci troviamo proprio dei file modificati sul server, ad esempio, se carico un index in cui c'è scritto solo "ciao", qualche giorno, magari qualche settimana o anche qualche mese dopo, mi trovo l'index con dentro un richiamo a uno script malware che punta a un sito .ru o, come dicevo nel primo posto, mi trovo file con dei nomi alfanumerici casuali (Shj923klo.jpg) che io non ho mai caricato...
E la password FTP l'abbiamo cambiata diverse volte, dubito che possa essere qualcuno che sappia la password... stavo pensando che probabilmente non ho eliminato tutti i file php messi dal vecchio programmatore e quello potrebbe continuare a garantire l'accesso ai file... il problema è che io non ho idea di quali altri file ci possano essere, quindi se esistesse un tool che, data una cartella, analizzi tutti i file in essa contenuti e mi dicesse quale codice potrebbe essere sospetto sarebbe una cosa fantastica