как палит? откуда палит? антивирус на самом сервере установлен, или даже у любого кто заходит на сайт, локальная копия антивируса кричит?

почему спрашиваю, антивирусы могут палить php шэллы, если он установлен на самом сервере, но снаружи у него не будет доступа к php файлам, и все будет в порядке.

если все таки снаружи палит, то там я только могу предполагать что он анализирует популярные сайты (как ВК), и потом сравнивает с сайтом на которым заходит чел, если сайты на Х% похожи, значит фейк. Анализ происходит как ты и сказал, эвристический, то есть если поменять разные ID в html, это ничего не изменит, и нужно найти способ обойти это.

но это только моя догадка, как он на самом деле работает, я не знаю.