Primero, revise los registros de acceso de sus sitios para demostrar que no se está volviendo a infectar a través del mismo vector de ataque que lo infectó. Si no ves las solicitudes que llegan cada diez segundos, eso debería ser suficiente por ahora.
Usted dijo que no hay cronjobs sospechosos. ¿Cómo comprobaste esto? ¿Está seguro de que todos los cronjobs aparecen en el panel de control que mencionó, incluso si no se crearon a través del panel de control?
Si realmente no hay ningún trabajo cron, la siguiente causa probable de reinfección es un proceso malicioso que todavía se está ejecutando en el servidor y permanece inactivo durante diez segundos, luego verifica la existencia de los archivos y los vuelve a crear si No hay más.
Si eso es lo que está pasando, entonces también es probable que aún tengas una copia de los archivos maliciosos en el servidor en algún lugar (ya sea eso, o se estén descargando de una fuente remota). No olvide revisar el directorio / tmp para los subdirectorios ocultos. / tmp es un lugar probable para que el malware resida porque normalmente se puede escribir en todo el mundo.
Algunos programas maliciosos utilizan un buen truco en los sistemas Unix para ocultar sus archivos: el proceso en ejecución abre los archivos y luego los desvincula, lo que los hace invisibles al comando como ls y find, pero como están abiertos, están aún allí (hasta que finalice el proceso que los mantiene abiertos). Lo bueno es que, como están abiertos, aparecerán en / proc.
Necesitas encontrar este proceso y matarlo. No sé nada acerca de GoDaddy, ¿tienes acceso a la shell? Si es así, puede usar el comando ps para enumerar los procesos activos que se ejecutan bajo su nombre de usuario.
Sin embargo, todo esto no tiene sentido a menos que encuentre el vector de infección. Verifique primero en sus registros de acceso las URL muy largas que contienen cadenas de aspecto aleatorio. Esto es bastante fácil si sabes cómo usar grep y expresiones regulares. Si encuentra algo que parezca sospechoso, busque la URL en Google; Esto podría proporcionarle una descripción del agujero de seguridad que hizo posible la violación inicial y eso es lo que necesita saber para asegurar su sistema.