Bu tür otomatik brute force ile root erişimi elde edilen sunucularda faaliyet yürüten kişilerin sitelerle pek bir işi olmuyor, ilk hedefleri root olmakta, çünkü sitedeki shell yada yabancı dosya site sahibi tarafından fark edilip hemen silinebilir ancak root üzerine sızıldığında bunun kaynağını tespit etmek ve temizlemek çok daha zordur.
Yani en azından benim gözlemlediğim benzer durumlarda hiçbir zaman site dosyalarında bir faaliyet olmadı, bu tür olaylarda saldırganın amacı siteleri hacklemek yada zarar vermek değil sunucunun hat ve sistem kaynaklarını kullanmaktır.
Tabi ne olur ne olmaz siz siteleride taratın, sonrasında hemen yedek alıp temiz bir sunucuya aktarın.
Wmware network çıktısından söylediğiniz elbette doğru fakat sunucudaki site dosyalarının aktarılma ihtimaline karşı site üzerlerine shell atılabilir veya başka bir düşünce yapısıyla bakarsak çok fazla site varsa hacklink basılabilir. Dediğiniz gibi sanırım en temizi siteleri taratıp başka sunucuya aktarmak olur.