Сталкивался с такой проблемой. Сайт был под апачем. Лечил htaccess'om. К сожалению не сохранился исходник файла. Проблема решается легко если у вас управление осуществляется с фиксированного IP. Принцип правила такой:
если это POST запрос
И он обращен НЕ на типовые скрипты (типа index.php в корне и ещё в какой-то есть приёмник для AJAX запросов в публичной части)
И если запрос не с указанного IP
то перенаправляем его на заглушку, в которой записываем в лог параметры запроса, кто, куда, и с какими данными.
таким образом злоумышленник даже в админку не войдет а про запросы к чему-то ещё вообще бесполезно.
далее пока собираются логи по размещённым злоумышленником скриптам анализируем все скрипты сайта где упоминаются следующие функции: mail, eval, fsockopen и его вариации , base64_decode, exec и её аналоги.
У меня была такая особенность: Вредоносный код был в начале файла в виде <?php затем куча пробелов чтобы скрыть от глаз в редакторе, потом код и завершалось ?> соответственно если это был изначально php файл то после этого открывался <?php родного файла
