Çözümü buldum;
Mesele bir saldırı değil.

deleteme.[hash].php dosyası sunucu tarafından gönderilen bir dosya olduğunu buldum
Sunucu bu dosyayı neden oluşturuyor diye soracak olursanız; sunucu üzerinden yani cpanelden oluşturulmuş olan uygulamaları(wordpress,joomla,opencart vb) korumak denetlemek adına sürekli bu dosyaların kurulu olduğu dizine bu dosyayı oluşturup kontrol ediyor;

Yani demem şu: Eğer sunucu/cpanel üzerinden bir app/uygulama/wordpress/joomla/opencart kurulumu gerçekleştirilmiş daha sonradan bu yazılım yine sunucu üzerinden silinmek yerine dosya konumu olarak silinildiyse o halde bu deleteme.[hash].php dosyası gönderiliyor.

Bulduğum en iyi çözüm, yazı ya da makale bu yönde sunucu üzerinden uygulamayı kaldırdım bakalım sonuç ne olacak...