Innanzitutto, controlla i log di accesso dei tuoi siti per dimostrare a te stesso che non ti stai reinvincendo attraverso lo stesso vettore di attacco che ti ha infettato. Se non vedi richieste che arrivano ogni dieci secondi, per ora dovrebbe essere sufficiente.
Hai detto che non ci sono cronjob sospetti. Come hai controllato questo? Sei sicuro che i cronjobs vengano tutti visualizzati nel pannello di controllo che hai menzionato, anche se non sono stati creati attraverso il pannello di controllo?
Se davvero non ci sono processi cron, la prossima probabile causa di reinfezione è un processo malevolo che è ancora in esecuzione sul server e continua a dormire per dieci secondi, quindi verifica l'esistenza dei file e li ricrea se non ci sono più.
Se questo è ciò che sta succedendo, è anche probabile che tu abbia ancora una copia dei file dannosi sul server da qualche parte (o quello, o sono stati scaricati da una fonte remota). Non dimenticare di controllare la directory / tmp per le sottodirectory nascoste. / tmp è un luogo probabile in cui risiede il malware perché è solitamente scrivibile in tutto il mondo.
Alcuni malware utilizzano un trucco preciso sui sistemi unix per nascondere i loro file: il processo in esecuzione apre i file e li scollega, il che li rende invisibili al comando come ls e find, ma poiché sono aperti, sono ancora lì (finché il processo che li tiene aperti termina). La cosa buona è che dal momento che sono aperti, verranno visualizzati sotto / proc.
Devi trovare questo processo e ucciderlo. Non so nulla di GoDaddy, hai accesso alla shell? In tal caso, puoi utilizzare il comando ps per elencare i processi attivi in esecuzione con il tuo nome utente.
Tuttavia, questo è tutto inutile a meno che non si trovi il vettore dell'infezione. Controlla i tuoi log di accesso per URL molto lunghi contenenti stringhe dall'aspetto casuale. Questo è abbastanza facile se sai come usare grep e le espressioni regolari. Se trovi qualcosa che sembra sospetto, google l'URL; questo potrebbe fornire una descrizione del buco di sicurezza che ha reso possibile la violazione iniziale e questo è ciò che è necessario sapere per proteggere il sistema.