Ftp den bakın değişik bir dosya varmı. Büyük ihtimal yönlendirme sayfası kodu benzeri birşeyler vardır.Birden fazla da olabilir.
Gözüme çarpanları sildim ancak yine de index.php'yi tekrar oluşturan bir dosya var sanırım..
Evet hocam kullandığım panel Vesta. Ya panelden ya da şu iki eklentiden şüphelenmiştim ben de: "New adman ve Wp Full Auto Tag Manager". Çünkü kontrol ettiğimde bu iki eklentide dosyaların değiştirme tarihi, hacklenen gün olarak değişmiş görünüyordu.