My server had been infected and the attacker spread (...) malicious code (...).
NUKE DE ORBIT!
Essa é a única maneira de ter certeza de que tudo está seguro novamente. Se você quiser, você pode fazer uma imagem e analisar como o atacante entrou no sistema, mas para esse sistema a única salvação é reinstalar do zero . Não remover apenas os "arquivos de ponto" irá tornar-se seguro de que seu sistema é oke