На бегете хостятся сайты, от одного из сайтов был доступ у человека с (как оказалось позже) трояном на пк. Ни рута ни фтп доступа не было.

Теперь на хосте сидит шелл, который сам создает папку с зараженными файлами, весь хост просканировал встроенным айболитом - ничего не находит.

как найти шелл на сервере?

https://pastebin.com/tRVttM7m


Code:
---- Potentional shell code search:
1) FuncPhp 3) PregReplace 5) WordpressNonImage 7) htaccessRedirect
2) FuncPhpAll 4) 16hex 6) htaccess 8) WritebleDirs

Возможно это уже не шелл а баш скрипт в кроне итд. Так же есть вероятность что взломали не вас а соседа, частая проблема гавнохостингов. Рекомендую перехать на чтото более профессиональное, например Амазон ну и читать логи в первую очередь. Я так понимаю у вас там не ВПС а просто хостинг.