Aporto algo mas y espero que si algo mal nos informen:

-----


Actualmente la única forma eficaz de protegerse de los iframes es eliminarlos si estás infectado, a mano, uno por uno los archivos "index","defalut","home" y cualquier otro y luego cambiarles los permisos a 444, con esto no podrán entrar más en tus archivos.

Es una opción que funciona al 100% y que no se por qué aquí no se ha propuesto.

No tenemos formas de eliminar las entradas IFRAME en un archivo con permisos de escritura (CHMOD 6xx) ya que los piratas aprovechan una vulnerabilidad del servidor PHP con el método GETSERVERVARS y pueden insertar el código a sus anchas. Si impedimos desde nuestro server que el archivo sea escribible (CHMOD 4XX) el script del pirata no podrá agregar el código malicioso y no sufriremos ataques.

Saludos.


-----