Обратился клиент, симптомы - заражают js файлы,вставляют кд в виджеты и шаблоны в адми панели сайта. Написал, что перед этим компания revisium в течении полугода не могли помочь и найти причину. Обнаружил уязвимость, закрыл.