айболит много чего не находит. хотя идея скрипта правильная.
помимо jce проблемы имеют ckeditor и phpadmin, в том числе свежие.
их стоит закрывать апачевским паролем или по адресам.
Универсальная защита - mod_security. При правильной настройке снимает кучу головной боли. Использую ее на сервере с кучей говносайтов, их раньше ломали раз в неделю, теперь - уже полгода без проблем.
А чего там у вас с поддержкой - винты посыпались там или еще что?
Как менять? И kvm если что подключают? Зоны ответственности так сказать разграничить. Меня в теории могут все 8 заинтересовать, может в личку?
если в ftpшных логах нету ничего - то удаление редиректа поможет только на время. начните с поиска измененных недавно файлов что-ли.
Стоит начать с того, чтобы это "скорее всего" подтвердить логами ftp.
Из нюансов посоветую chmod 440 или 444 на .htaccess
Был случай - чинил сайт после хакера, который через доступный на запись htaccess добавлял расширение для обработчика php.
И теперь представьте - вы все php проверили, а в них ничего. А зараза лежит в .jpeg и работает.
Ну а на дедике вместо chmod меняйте владельца. Если chmod опытный обойдет, то chown root, chmod 644 - уже врядли.
И обязательно храните access.log. Хотя-бы месяц. Часто зараза всплывает, начинаешь раскручивать откуда взялась, а логи кончаются. Это сразу трудоемкость работы значительно увеличивает.
По времени изменения файлов можно ориентироваться только иногда. Продвинутые возвращают время изменения файла назад.
Чтобы логи меняли (терли свою активность) - в практике пока не встречал. Но на некоторых шаред хостингах такое возможно.
