Una técnica para buscar si alguien ha subido un script malicioso en tu servidor es buscar archivos php con usuario apache, nobody o lo que tu servidor tenga establecido para el apache.

find -type f -name “*.php” -user nobody

Una vez encontrados los archivos con ese usuario procederemos a verificar dicho código y eliminar los que realmente no deban estar ahí.