Вирус на сайте/сервере. Кто сталкивался?

Добрый всем день. Имеется проблема:

На физическом выделенном сервере у нескольких пользователей обнаружились зараженные сайты. Информация о заражении начала поступать через Яндекс.Вебмастер с 11 числа. Через пару дней, естественно, началось блокирование сайтов уже на уровне браузеров.

При визуальной проверке исходного html кода никаких "лишних" фрагментов обнаружить не удается. Лишь один раз, один из пользователей, зайдя на сайт через IE с отключенным кешем, смог увидеть встроенный iframe. Скрин выкладывал в теме /ru/forum/747528

При проверке исходников CMS (того места, откуда данный кусок кода может выводиться) ничего подозрительного не обнаружили.

При повторной загрузке сайта iframe пропал.

Проверка сервера некоторыми утилитами не выявила никаких изменений в системных файлах. Пробовали искать по датам изменений файлов CMS - тоже ничего подозрительного. CMS в основном своя везде стоит, на паре сайтов есть shop script, на одном WP.

Яндекс.Вебмастер тоже ведет себя несколько странно: при одной проверке он обнаруживает вирус, через день начинает считать, что сайт чистый, а еще через день может сказать, что сайт опять заражен.

Проверки ai-bolit -ом тоже пока ничего не выявили.

Можно, конечно, поднять бэкап, но хочется понять откуда (или куда :crazy:) ноги растут.

Может, кто то сталкивался с подобной заразой?

PS Пользуемся WinSCP - из под root. По логам - только свои заходы, так что рутовский пароль не уведен.

У некоторых клиентов есть ftp доступ. Но на ftp не грешу, так как заражение коснулось всех пользователей на сервере.