Si sigue un patrón más o menos conocido (seguro que si), el ClamAV lo detectara.
Lo instalas en el servidor, lo actualizas, etc...
Y analizas el server.

Análisis completo:

Directorio de webs (puede ser otro diferente a home)

Es interesante que no borres la impresión, comando "i". De esta forma solo aparecerán en pantalla las cadenas de archivos infectados, si no te puedes hacer un lío.
El proceso puede tardar un rato, tu tranquilo... aunque tengas la terminal en negro el esta trabajando, como te comente anteriormente solo visualizaras progresivamente los infectados.