Localize o (s) diretório (s) inicial (ais) que está criando a fila de mensagens de alta segurança
grep 'cwd=/home' /var/log/exim_mainlog | awk '{print $3}' | cut -d / -f 3 | sort -bg | uniq -c | sort -bg
Localize se qualquer operação POST múltipla de qualquer arquivo PHP está ocorrendo no site sob esse diretório pessoal específico. Se sim, verifique o arquivo e bloqueie-o se achar suspeito. Também bloqueie o IP, se for de um particular.
grep POST /usr/local/apache/domlogs/<homedirectory>/* | grep PHP | grep 200
Eu encontrei o "Padrão 1" na maioria dos arquivos infectados.
Padrão 1
grep -irl "GLOBALS.*eval" . | xargs ls -la | grep php
Padrão 2
grep -irl "Array.*eval" . | xargs ls -la | grep php
O padrão 2 é comum em arquivos PHP e arquivos jquery compactados. Mas esse padrão também é encontrado em alguns arquivos infectados. Então, você deve abrir cada arquivo e verificar se o código malicioso está presente ou não.
Padrão 3 (injeções falsas do jQuery)
grep -irl "jQuery.min.php" . | xargs ls -la
Informações detalhadas sobre o jQuery.min.php Malware: link