Cita:
Iniciado por skamasle 
No es que se ejecute solo es que alguien subio la shell y la ha ejecutado, es lo más probable.
Y si puede estar en cualquier carpeta, una shell puede dar acceso a todos los archivos, por resuirte el concepto de shell, es un administrador de archivos, file manager etc, es más ahora lo llaman así algunos, administrador de archivos hecho en PHP, puedes ver casi todo el server si php y apache no tienen las restricciones necesarias.
Lo bueno es que ver, no siempre es poder tocar, si los permisos están bien podrá ver muchas cosas menos lo de root, o sea si PHP se ejecuta con un usuario la shell solo podrá editar los archivos que pertenezcan a ese usuario, si tienes el asunto con mod_php ( DSO ) o sea sin suexec y suphp, la shell puede acceder y editar todos los archivos PHP de todos los usuarios.
Hola skamasle, decía lo de que se ejecutaba solo porque limpio todos los archivos de todas las webs vía consola y al dia siguiente ya los tengo de nuevo infectados. Creía que sería como comentas, que entra alguien y ejecuta, pero como he comentado he visto los accesos al SSH o FTP y no aparece nada fuera de lugar.
Para más datos, el virus o lo que sea modifica el interior de los archivos pero deja la fecha de "ultima modificación" sin tocar, como si no la hubiese cambiado nadie.
A modo de prueba ayer puse una carpeta dentro de public_html con nombre "virus" y dentro un index.php casi vacío. Pues hoy me lo he encontrado infectado también.
Voy a pasar el antimalware que comentas a ver porque ya llevo muchos días así y me mosquea bastante.