önerim vpsi formatlayıp sitelerini tekrar kurman kaynak dosyaları inceledikten sonra. büyük ihtimalle bunu yapan kişi backdoor oluşturmuş istediği şekilde sunucuya bağlanabiliyor tekrar. tabiki en önemlisi ilk yaptığı hamleyi çözmek. bu adam bu siteye nasıl shell upload etti? kullandığın scriptte rfi açığı var mı? size özel bir script mi bu yoksa open-source bir script mi?