Перенаправление на webcache109.com.
1. Хакеры взламывают один из сайтов на сервере (чаще
воруют пароли FTP) и загружают туда backdoor скрипт – PHP файл, который
выполняет зашифрованный команды присланные в параметрах POST-запроса.

2. Дальше этот скрипт запускает бинарный файл, который (скорее всего)
перехватывает сетевое соединение запустившего его процесса апача, и в
дальнейшем притворяется обычным апачем и обрабатывает входящие запросы
(на все сайты), возвращая вредоносный ответ. Так как этот процесс
«замещает» лишь один из дочерних процессов апача, то вредоносные ответы
возвращаются лишь на часть запросов. К тому же через какое-то время этот
процесс отмирает и вредоносные ответы пропадают до следующей активации
скрипта.

Чтоб найти backdoor скрипт, нужно

1. просканировать весь сервер (все клиентские директории) на предмет PHP
кода, который использует конструкцию eval(base64_decode(.. (правда в
последнее время её стали шифровать)

2. Проверить логи апача (для всех сайтов) на предмет подозрительных POST запросов. Проверьте файлы, к которым идут эти запросы.