今朝アクセスログを見てみると、次のアドレスへのアクセスが複数のサイトで見つかりました。
/_vti_bin/_vti_aut/author.dll

これはFrontPage関連のファイルなんですかね。複数のサイトに痕跡があったことからワームの類ではないかと思います。また、ちょっと前まではmyphpadmin関連のアクセスが多かったのですが、最近はほとんど見ることもなくほっとしていたのですが、この手のアクセスは困ったものですね。
他にもWordPressのログインページや公開していないページへのアクセスが若干あります。WordPressのログインページへのアクセスはメール通知とかも考えたほうがいいのかもしれませんね。