Bir müşterimizde böyle bir problem yaşamıştı. Site klasörlerini taşımanız sorunu çözmez diye düşünüyorum. Muhtemel sitelerden bazılarına shell bulaştırılmış olabilir ve bu şekilde taşındığı VDS'de de eğer shell taraması yapmazsanız aynı virüsü orayada bulaştırma ihtimaliniz mevcut.

İzlemeniz gereken yol ;

1-) root gibi başka bir kullanıcı açılmış mı ona bakın. "who" komutuyla ssh'a bağlı kullanıcıları görebilirsiniz.
2-) Maldet ve clamscan programları ile sunucunuzda shell taraması yapın.
3-) SSH şifrenizi değiştirip sunucuya reboot atın.

Tarama sonrasında büyük ihtimalle bir kaç adet shell exploit bulacaksınız. Ayrıca tüm sunucuyu taratmanızda fayda var.

clamscam ile tam tarama için aşağıdaki komutu kullanın.

clamscan -r /*

maldet ile tam tarama için aşağıdaki komutu kullanın.

maldet -a /*


Not : Taramalar biraz uzun sürebilir.