Это решение учитывает случай, когда вредоносный сценарий занимает более одной строки и будет использовать редактирование на месте для изменения файлов непосредственно на сервере.
find /base/path/here -type f -name "*.php" -exec \
sed -Ei '/<\?php/{:l1;/.*\?><\?php/!{N;bl1};s/<\?php.*\?>(<\?php)/\1/}' {} \;
Надеюсь, это соответствует требованиям.