「さらに」というのはおかしいでしょう。順序が逆ですよね？
この攻撃は、8月15日の不正侵入から続いているものだと思うのですが。

15日の段階で侵入を許した事に気付いていたのに、18日まで対策しなかった為、今回第二の被害が出たということですよね？
IPアドレスを絞った攻撃というのは、事前に入手したユーザのアクセス履歴から、抽出したものなんじゃないのかな？

そう考えると、最初の段階でサーバのクリーンアップや、安全確認の為のサービス一時停止さえしてれば、今回の件は防げた可能性が高いということですよね。
今回の被害が甚大なのは、配信側が「よく分からない」と言うので、受け手は最悪のケースを想定して対応しなければならない事。
普通の人の最善策は、手っ取り早くOS初期化でしょうかね。
とりあえず企業においては、しばらくEmEditorの使用禁止か、安全なバージョンを再インストール後、更新の禁止が必要ですね。

それより、httpdのログにリライトだか、リダイレクトの記録残ってないのかね？
クライアントPCに更新に関するログは残ってないのかね？
なんかモヤッとする事件だなぁ。

しっかし、管理者以外がサーバを触るってのはホントに恐怖だな。
普通なら消去せず移動させたり、バックアップ後に消したり、とりあえず自分の範囲外のファイルを、気楽に触ったりしない筈ですが、
やっぱり素人は、意味分からないファイルは消したくなっちゃうのかな。
今回は復旧ソフトとかでファイルの復元は出来なかったのかなぁ。

まぁ、シェアウェアに、セキュリティまで求めてはダメか。