[Решено] Есть кто умеет в linux? Нид хелп

Ломанули сайт на виртуальном хостинге - подменили index.php на свой.

Ну я такой думаю - сейчас восстановлю из бэкапа и все ок. А нифига, восстанавливаю - файл не поменялся.

Проверяю файл из бэкапа - нормальный. Файл на сайте - ломаный. Ничего не понимаю.

Удаляю ломаный index.php, обновляю - он снова на месте.

Подскажите что набрать в линуксе чтобы найти что создает файл и прибить.

Пароли уже поменял, крон проверил, последние измененные файлы посмотрел - не нашел =(

UPD: Решил: по ps -eF посмотрел активные процессы, там висел php скрипт, который уже был удален, но остался в процессах. Он и создавал тот файл. Сука.