Sunucunda direk payload çalıştırılmış.
dış erişimi tamamen kesip sunucu yedeğini bulmanda fayda var.
Hizmet aldığın sağlayıcı ile görüşüp yedek noktasında bilgi almanı ve 1-2 gün önceye dönmeni tavsiye ederim.
Aksi takdirde ne yaparsan yap tamamen kurtulman çok zor çünkü zararlı bir binary çalıştırılmış durumda. Bu noktada yedekten geri dönmek doğru seçenek olacaktır.
Sabah 6 ya ait yedeğim var fakat enfektenin ne kadar eskiye dayandığını bilmiyorum incelediğimde 07:00 dan sonra olduğunu görmüştüm. Root şifresini değiştirdim ve whm güncelleme yapabildim yalnızca, bir de bu kadar teknik bilgiye sahip değilim orası ayrı.