Hola a todos, tengo un servidor dedicado con linux y unas 100 carpetas con dominios de clientes.

Hace poco me encontré que en determinadas webs, no todas, había algo que introducía un código en los archivos php, el típico eval(base_64....) y hace que no funcione la web. Dicho código se inserta en todos y cada uno de los archivos php, no solo en los index.php o footer, incluidas subcarpetas.

Tengo que hacer el borrado mediante el shell de linux porque a mano sería imposible.

El caso es que no sé por donde entran, he probado a cambiar la contraseña del FTP general que tiene acceso a todos los dominios (que es la misma que la del cpanel) y nada, vuelve a entrar.

Lo curioso es que se modifica el contenido de los archivos pero no parece que se modifique la fecha de última modificación.

En principio no he visto archivos raros dentro de las carpetas afectadas.

Solo se me ocurre cambiar la contraseña del SSH por ver si es que entran por ahí, pero tengo puesto un firewall que restringe el acceso vía SSH a determinadas IPs.

¿Donde puedo buscar más?