Dodam tylko, że jest jeszcze drugi przypadek i wówczas najlepiej ściągnąć sobie witrynę na kompa i przejrzeć czy w katalogu głównym nie pojawiły się jakieś dziwne jpgi i gify. To samo należy uczynić z folderem images.
Dodatkowo za pomocą np. Notepada ++ wyszukujemy frazę base64 i patrzymy, w których plikach są jakieś podejrzane wartości typu
Kod PHP:
return base64_decode('R0lGODlhEQANAJEDAJmZmf///wAAAP///yH5BAHoAwMALAAAAAARAA0AAAItnIGJxg0B42rsiSvCA/REmXQWhmnih3LUSGaqg35vFbSXucbSabunjnMohq8CADsA');
Do zdekodowania hasha można posłużyć się tą stroną
Mnie wykryło obecność plików
p.php
pp.php
mod.php
które oczywiście są do wywalenia