В основном заражают javascript файлы, как правило код пропущен через обфускатор (base64, japan utf-8 etc).
Очень легко в таких заражениях найти уникальную сигнатуру, и почистить все одним махом.
И так:
1 | grep -rl 'hVu6r#r#iFy#eVtV' ./ | xargs sed -i '/hVu6r#r#iFy#eVtV/d' |
hVu6r#r#iFy#eVtV — это и есть наша уникальная сигнатура.