как распаковать файл в красной шляпе Linux?

Это решение учитывает случай, когда вредоносный сценарий занимает более одной строки и будет использовать редактирование на месте для изменения файлов непосредственно на сервере.

find /base/path/here -type f -name "*.php" -exec \
sed -Ei '/<\?php/{:l1;/.*\?><\?php/!{N;bl1};s/<\?php.*\?>(<\?php)/\1/}' {} \;

Надеюсь, это соответствует требованиям.