1) Проверить даты изменения всех файлов + системное время

2) Проверить bash_history

3) Проверить crontab, /etc/cron.d и т.п. spool

4) Проверить список демонов в авторане

5) Проверить список запущенных процессов и сервисов. А так же какие службы слушают порты на данный момент.

6) Переналить образ? выполнить дифф всех файлов с дохакерской версией сайт(ов).

7) Настроить .htaccess и разграничить серверами пределы сайтов.

8) Проанализировать логи apache|nginx на предмет как могут попадать. Так же интересно глянуть syslog.

9) Обратиться к @winstrool за профессиональной помощью (коммерческий вариант)