Найти и обезвредить вирус

Присказка:

Имеется инстанс на Amazon Web Services, на котором висит пачка сайтов (Wordpress, Prestashop, Drupal). До августа, на этом инстансе жил вирус, который захватил доступ вплоть до рутовского и подменял содержимое страниц хостящихся веб-сайтов. После переустановки в августе, на сервере было настроено, чтобы каждый веб-сайт имел доступ только к своей директории / БД и запускался от отдельного юзера, после чего подмена содержимого страниц сайтов вроде бы прекратилась.

Собственно сказка:

В октябре стали получать от Амазона вот такие абузы:

Your Instance has been implicated in activity that resembles a Denial of Service attack against remote hosts.

Logs:

Protocol: UDP

Remote IP: 45.32.85.10

Remote port(s): 80

Total bytes sent: 621648842

Total packets sent: 779986

Total bytes received: 0

Total packets received: 0

За два дня октября, с нашего сервера было отправлено 2.5 терабайта исходящего трафика. 

Это было остановлено слишком радикальными мерами, а именно, запретом любого исходящего трафика по протоколу UDP через iptables.

Однако при этом отвалилась часть функциональности наших сайтов, связанная с получением данных из Интернета.

ЧТО НУЖНО:

Найти и обезвредить вирус, через который злоумышленники отправили с нашего сервера 2.5 Тб трафика.