На бегете хостятся сайты, от одного из сайтов был доступ у человека с (как оказалось позже) трояном на пк. Ни рута ни фтп доступа не было. Теперь на хосте сидит шелл, который сам создает папку с зараженными файлами, весь хост просканировал встроенным айболитом - ничего не находит. как найти шелл на сервере?
https://pastebin.com/tRVttM7m Code: ---- Potentional shell code search: 1) FuncPhp 3) PregReplace 5) WordpressNonImage 7) htaccessRedirect 2) FuncPhpAll 4) 16hex 6) htaccess 8) WritebleDirs
Возможно это уже не шелл а баш скрипт в кроне итд. Так же есть вероятность что взломали не вас а соседа, частая проблема гавнохостингов. Рекомендую перехать на чтото более профессиональное, например Амазон ну и читать логи в первую очередь. Я так понимаю у вас там не ВПС а просто хостинг.