Есть вероятность того, что в системе остался веб-шелл (вот почему от user@localhost идет коннект в базу), которые айболит и манул не обнаружили, скажем закодированный веб-шелл.
Попробуйте поискать в системе новые файлы, появившиеся в системе недавно/со времени предполагаемого взлома, ну а потом посмотреть внутрь этих файлов.
