Webserver infectado por injeção de iframe

Meu servidor da web foi infectado por uma causa desconhecida. Cada página de qualquer site hospedado no servidor será injetada por um script de iframe.

• Dia 1: nosso software de servidor da Web era o Apache. Depois de estar confiante de que nenhum script da web foi modificado, analisamos este artigo ( link ) que dizia que um módulo do Apache poderia ser comprometido para que todos os pacotes TCP fossem modificados antes de serem enviados para os broswsers da web.

• Dia 2: substituímos o Apache por Nginx. Ele correu bem por um dia sem nenhum problema.

• Dia 3: nossos clientes nos informaram sobre o mesmo problema e o Google Chrome envia a mensagem de aviso "Site não seguro" para todos os sites hospedados no servidor.

Desesperadamente, nós fazemos backup de tudo, alteramos o disco rígido, instalamos um novo sistema operacional (FreeBSD 10.2, anteriormente FreeBSD 8.4). Com o sistema operacional e o novo servidor Nginx, testamos a solicitação para o servidor, e a solicitação ainda é infectada pelo iframe.

Nós rodamos o mais novo clamav, rkhunter mas nada foi encontrado.