Muito obrigado a todos pela contribuição!
Basicamente, o sujeito apenas alterou a senha do root :/
Por conta disso tivemos que subir uma nova vm e reconfigurar tudo do 0
Tinhamos backup de algumas contas, de outras não! Porém, nada foi excluído, deletado ou modificado!
Me parece que agora na última versão do cpanel há backup das contas \o/
O erro foi deixar um usuário com privilégio de ROOT, sendo o mesmo usuário gerador das contas por meio do whmcs no whm!
Amigos, agora gostaria de uma informação:
Como eu disse, algumas contas não haviam backup (eu sei que isso é o máximo do amadorismo kkk) porem, tenho a pasta public_html das referidas contas no diretório antigo onde estava o cpanel invadido... até aí tudo certo, porém não localizei o sql dessa conta! O que eu encontrei foi o diretório padrão da base de dados na sua forma bruna, em /var/lib/mysql. Nesse diretório estão todas as pastas de todas as contas, e dentro delas, arquivos .frm e .ibd. Há alguma meio de eu recuperar o mysql de alguma conta? Lembrado que o cpanl que foi invadido, está em outro diretório, inativo. Apenas deixamos temporariamente para recuperar os arquivos dos clientes!
Espero que compreendam o que eu escrevi a sima