Если кратко, то есть shared-хостинг и несколько десятков сайтов на нем. На некоторых папках сайтов chmod 755. Но еще есть и всякие ничем непримечательные файлы с названиями типа "search.php", "inc.php", которые заливаются в public_html, при этом дата создания зачастую обладает давностью в месяцы/годы, они залиты с chmod 600.
В нескольких проектах на Yii2 эта малварь не прошла дальше public_html, попросту не найдя подходящих каталогов.
Если вдруг находится каталог с chmod 755, то малварь загружает туда файл и т.д., причем непонятно как.
FTP-логи чисты, там лишь логи обновлений. Пики нагрузки пришлись на 4, 16 и 18 сентября.

Хуй знает, возможно это ботнет, а favicon_12d923(прикреплено ниже) - файл-команда.
Но все равно непонятно каким образом кто-то смог получить доступ к серверу.
Ну и какие средства профилактики кроме правильного выставления прав и смены паролей на FTP можете посоветовать? Учитывая, что shared-хостинг и конфиг сервера недоступен.

Если кому-то интересно, то архив с малварью
https://drive.google.com/file/d/0By9z-2aT_AUzaElDbUZmMmx2ckU/view?usp=sharing