Hallo zusammen

Eine von mir betreute Website liegt auf einem Hosting mit insgesamt 44 Websites. Nun ist der komplette Webspace mit einem Backdoor verseucht. Dem Kunde habe ich empfohlen zusammen mit dem Hoster ein Backup von vor dem Befall einzuspielen und die Passwörter zu ändern.

Kann ich den gefunden Backdoor (liegt in einem Github-Repository) irgendwo melden (eine kurze Google-Recherche brachte keine Ergebnisse)? Was würdet ihr machen?

Das kannst Du dir wohl sparen, solche Backdoors/Webshells gibt es wie Sand am Meer.
Habe hier dutzende in jeder gängigen Scriptspache liegen, alles "Fundstücke" der letzten 20+ Jahre Berufserfahrung.
Einige davon werden von gängigen Virenscanners als solche erkannt, andere wiederum nicht.

Gefühlt kann man nach jeder gröberen 0-Day Lücke in Wordpress oder einer bekannten Extension/Theme davon, auf den entsprechenden Webservern wieder haufenweise solcher Backdoors/Webshells einsammeln...