Sitenin full backup'ını al bilgisayarına : ) sonra malwarebyets ile tarat shell kodu olan dosyaları bulacaktır. Yanlız bazı shell scriptlerin kodları php eval, ioncube gibi yazılımlar ile şifreleniyor bunları bulamaz detaylı olarak dosyaları gözden geçir özellikle sitende php upload olan kısımlar varsa bunlara dikkat et örneğin adam avatar yükler gibi shell'i server'a yolluyor. Şunuda aklından çıkarma : ) barındığın hosting firması phpyi nasıl optimize etmiş neler yapmıs bunları öğrensen iyi olur. Kimisi hiçbir optimizasyon yapmıyor basılan her shell kolayca kullanılabiliyor.