@Marco, la tua soluzione (non ho verificato la correttezza, ma conosco il tipo di problema che va a risolvere) è valida solo per attacchi diretti che tipicamente cercano di sfruttare falle di sicurezza allo scopo di utilizzare il dominio attaccato per inclusioni da remoto di qualsiasi file.
A me pare evidente che qui si tratti di tutt'altro, ovvero (magari sfruttando questo tipo di falla, ma non è detto) sono riusciti ad entrare nel (nei) server e quindi stanno procedendo a defacciare tutti i domini (ma per l'appunto, sembrerebbe dall'interno, non da attacchi diretti ai singoli domini dall'esterno).
Inoltre, nella stragrande maggioranza dei casi l'uso del libwww-perl viene fatto, come detto, per le inclusioni da remoto e affinchè possa funzionare necessita che la macchina consenta le inclusioni da remoto. In un hosting condiviso dubito che siano abilitate le inclusioni da remoto, ma se così fosse (da pazzi...) basterebbe disabilitarle a livello server.
Il problema però, è individuare ora cosa hanno caricato sul server, perchè finchè non si elimina (e si controlla tutto il server), questo tipo di intervento non serve a nulla.
Ancor meno serve ripristinare i file index, se non a tirar su i siti (ma se hanno avuto accesso di root al server... potrebbero tranquillamente aver messo su uno scriptino che sostituisce i files index e attivato un cron job che lo esegua continunamente....)
Insomma, serve l'intervento immediato di chi gestisce i server.
