Виртуальные севрера хостеров чаще всего построены на технологии OpenVZ, т.е. с хостовой ОС возможен доступ к гостевой (обычно хостер оставляет доступ служебной учетке к гостевой ОС, т.е. Вашей), если предположить что взломали именно его, то могли попасть и к Вам.
Думаю стоит обратиться к хоестеру, надеясь на то что тот в свою очередь ведет аудит файловых изменений в каталогах клиентов. Тогда станет возможно найти зловредный скрипт. А на счет IP я думаю Вы только зря потратите время. Т.к. с вероятностью в 99.99% человек пользовал VPN или Socks, и IP будет далеко не его.
Но возможен случай, описанный ниже «Norraxx», когда shell забросили не Вам, а на другую учетку хостящегося «рядом» пользователя. Тогда у себя Вы шелл не найдете.
Способ 1 (в 80% поможет) — качаете все содержимое сайта, сканите файловыйм антивиром каспера, т.е. «шелы» чаще всего используют не свои и взятые из «паблика», они в свою очередь как правило засвечены в базах антивиров. Сам однажды у себя именно так нашел.
Способ 2 глазами пересмотреть все содержимое зайта, особенно каталоги типа «tem» и каталоги куда другие «легальные» Ваши скрипты имеют право на запись при UpLoad.
