Aslında temana rfi oluşturacak kodlar entejte etmiş olabilir. Serverda shellim olsa ben öyle yapardım, asıl shell i bulmanın pek önemi kalmaz bu tarz bir durumda. Default temayı tekrar yüklemen senin yararına olur. Yukarıda bahsedilenleri de tekrar etmek istemiyorum aynı şeyler olabilir..

Ha en son not olarak belirtmek isterim ki vbulletinde xssden korkmanıza gerek yok..Cookie ele geçirilse bile ip adresi aynı olmadığı sürece login olamaz.

Edit: Diğer siteye bulaştığına göre serverda shell var. Boyutu 100kb ve daha fazla olan dosyaları gözden geçir. c99 yada r57 atmıştır. En popülerleri bunlar..

Edit2: Sorunu kökten çözmek istiyorsan forumda biraz araştır php.ini den yasaklaman gereken fonksiyonlar listesi ve apachede yapman gereken ayarları bulabilirsin. Tekrar tekrar yazmak istemiyorum..