Selam arkadaşlar,
plesk kurulu sunucumda 10 siteden 7 sine shell tarzı dosya attılar, siliyorum ama yeniden yüklüyorlar nasıl yüklendiğini çözemedim. Daha önce bu tarz virüs yiyen varmı aramızda ?

oluşan dosyalar bunun gibi, php asp aspx 3 dosyayıda yüklüyorlar. Bazıları CON ismiyle başlanıyor sunucudan silemiyorum.
İmages, css, js klasörlerine yüklüyorlar.
Sunucu windows 2016 server, plesk kurulu. tüm sitelerde 777 izni yok, belirli upload yaptığımız klasörlerde havuz kullanıcısına izin veriyoruz. Siteler aspx, tersine mühendislikle siteye ben shell atmayı denedim ama herhangi bir hostingden roota erişemiyorum plesk izin vermiyor. Hal böyle olunca sunucumu hacklendi pleskmi hacklendi yoksa bir hostingden rootamı sızdılar anlayamıyorum.
Şimdiden yardım ve tavsiyeleriniz için teşekkürler.