Для быстрой проверки сервера с множеством сайтов на вирусы можно использовать следующий код. В коде выполняется поиск файлов php в папке пользователей и их доменов, затем проверяется файл на наличие сигнатур. Скрипт не дает 100% результата так как данные сигнатуры могут использоваться и в файлах cms, но довольно быстро находит все подозрительные файлы.

find /var/www/*/data/www/ -type f -name \'*.php\' -print0 | xargs -0r grep -Hm1 . 
| grep -E \'strtoupper.*eval|eval(|_GLOBAL|eval(base64|eval("\x65\x76\x61\x6C\x28|gzinflate|"e"."v"."a"."l(b"."a"."s"."e"|FilesMan|\x7f\x45\x4c|GLOBALS.*global\' 
| awk -F: \'{print $1}\'