Хетцер отключил за участие в атаке. Как найти заразу?

Дебиан, обновления установлены.

fail2ban - стоит.

IP для входа на ФТП пишем руками.

SSH не на 22 порту.

Вчера хетцнер прислал:

We regret to inform you that your server with the IP address mentioned in the above subject line has carried out an attack on another server.

As a result, this has placed a considerable strain on network resources and consequently a segment of our network has been very adversely affected.

Direction OUT

Internal *.*.*.*

Threshold Flows 100 flows/s

Sum 30.219 flows/300s (100 flows/s), 38.274.000 packets/300s (127.580

packets/s), 2,193 GByte/300s (59 MBit/s)

External 159.45.66.55, 30.202 flows/300s (100 flows/s), 38.230.000

packets/300s (127.433 packets/s), 2,136 GByte/300s (58 MBit/s)

External 92.113.178.243, 7 flows/300s (0 flows/s), 32.000 packets/300s (106

packets/s), 0,042 GByte/300s (1 MBit/s)

External 37.52.4.34, 5 flows/300s (0 flows/s), 7.000 packets/300s (23

packets/s), 0,009 GByte/300s (0 MBit/s)

=========

Сделали:

1) Найдены подозрительные файлы, аккаунты отключены:

============================================

Здесь какие-то странные файлы

/home/******/domains/******.ru/htdocs/tmp

В частности

stext.txt с дадой изменения час 20 ночи сегодня (24 числа этого файла не было, и пхпшных тоже)

x.txt с датой изменения 29 января и текстом hacked by Hmei7

За последние 30 дней изменены эти файлы:

./******/domains/******.ru/htdocs/tmp/cbmf.php от 26 марта

./******/domains/******.ru/htdocs/tmp/php.class.php от 26 марта

./******/domains/******.ru/htdocs/tmp/tmpe.php от 27 марта

----------------------

Здесь от 25 марта какойто кодированный файл.

/home/******1/domains/******1.ru/htdocs/UserFiles/mail.php

Раскодировал - внутри какой-то генератор ссылок.

Вообще здесь движок какой-то битый, т.к. загружены ещё какие-то пхп файлы в декабре прошлого года. Файлы похожи на какие-то тестовые, в них запросы к ютьюбу

============================================

2) В фаерволе оставлены открытыми только следующие порты:

ssh, ftp, http and smtp, причем запросить с самого сервера по http нельзя.

Основная масса сайтов на нашем движке, вероятность взлома - минимальна.

Несколько phpBB от 2007-2009 гг. без покупных тем и какие-то сайты на вордпрессе не очень свежем. По поводу темам на вордпрессах пока не уточняли

На сайтах, на которых найдены подозрительные файлы, стоит что-то не очень знакомое, но с ними разберемся.

============================================

Сейчас пишем хетцнеру о проделанной работе, сервер наверное включат. Но... Заразу то мы со 100% определенностью так и не нашли... Что еще можно и нужно сделать?