Судя по описанию злоумышленник действует через Sql injection на одном из сайта путем залива Shell на сайт редактирует данные в базе SQL после чего удаляет Shell с вашего сайта. Рекомендую проверить все ваши сайты сканером WVS и устранить все уязвимые места на вашем сайте.
