Ohne Analyse der Vorgänge wirst Du den Server oder die Webs nicht bereinigt bekommen. Die Daten woanders hinzukopieren zerstört ggf. die Zeitstempel und erschwert die Analyse. Besser ist es alle Zugänge zu sperren: Webserver, FTP-Server und was es sosnt noch so gibt.
Dann mit dem entsprechenden Fachwissen, die Logfiles und Dateien analysieren. Das geht nur wirklich zielführend mit einem SSH-Zugang. Alles andere ist Gefrickel.
Du schreibst das der Server gehackt wurde? Stimmt das das? Oder meinst Du das "nur" die Websites gehackt wurden? In Fall des Serverhacks mach sofort(!) die ganze Maschine platt.
Im Fall von Website-Hacks stellt sich die Frage, ob alle Webs in einem gemeinsamen Hostingaccount liegen oder in getrennten Accounts die gegenseitig abgeschottet sind? Falls letzeres zutrifft, ist ein FTP-Hack nicht unwahrscheinlich, sofern Du alle FTP-Zugänge selbst verwaltest. Falls das auch nicht zutrifft, such nach Gemeinsamkeiten (gleiche Erweiterungen?) und versuche damit einen Start der Analyse hinzubekommen.
Ich vermute aber ganz stark, das eine Analyse nicht mehr möglich ist, weil Du selbst schreibst:
Zitat
...vor rund 3 Monaten gehackt... ...schädliche Dateien gelöscht und vieles andere mehr .
Ganz sicher ist, das keine vollumfängliche Anaylse gemacht wurde, denn sonst wären die noch bestehenden Backdoors entdeckt worden, die jetzt noch benutzt werden. Weil schon so viel verändert wurde und der Zeitrahmen schon so alt ist, kann ich Dir nur eines raten:
Lösche alle Webs! Du wirst es nicht schaffen. Eventuell(!) könnte ein Profi noch was reissen, aber selbst das halte ich für gewaagt in dieser Situation so lange nach einem Hack. Vielleicht wird eine der Backdoors, über die aktuell gerade gehakt wird gefunden, aber andere werden übersehen. Dann fängt das Spiel in Kürze wieder neu an. Ganz ehrlich: Ich würde so einem Auftrag ablehnen.
Auf jeden Fall die FTP-Logs prüfen, auch wenn alle Webs gelöscht werden.
Mach lokale Kopien, um lokal an Inhalte ranzukommen, damit die Seiten neu aufgebaut werden können.
Benutze keine einzige Datei aus den alten Webs, die nicht inhaltlich(!) geprüft wurde. Auch Bilddateien.
Ich weiss das ist frustrierend, aber im Zeitalter der Ransomwareverbreitung würde ich es nicht riskieren das sich ggf. ganze Netzwerke an Deinen Webs verseuchen und Du dann Schadensersatz bevorsteht. Du WEISST die Webs sind gehackt, also handle jetzt richtig.