Hola Peruclic.
Seguramente te hayan subida alguna shell que se maneje por php. Revisa los sitios que permitan subir archivos, mejor, revisalos todos.

Si sabes que archivo te ha subido el tio, intenta buscar en los logs quien accede a esos archivos. Si registras en tu servidor quien sube que, busca la ip de quien subio esos scripts, buscala en los logs de apache y ahi deberá aparecer la shell que el tio está utilizando. Si guardas logs bastante antiguos, con suerte, podras determinar en que virtualhost lo subio por primera vez, asi determinas el vulnerable.

Otra cosa, activa el "secure_mode" del php, esto evitará que el tio se pasee por tu servidor a su antojo.

Si después de un mes la cosa sigue así, me da a mi que no ha llegado a mayores y el servidor es recuperable (no así las webs).

Por otro lado, si el servidor esta haciendo spam y ademas se usa para phishing, tienes muchas posibilidades de estar en listas negras y de que el hosting se vea obligado por requerimientos legales a apagartelo (yo lo haria).
Sino sabes mirar los logs o apañartelas para evitar que vuelva a entrar, apaga el servidor o contrata a alguien que sepa.

Saludos.