Как найти бэкдор на своём же сайте?

Как найти php backdoor на сайте? После поиска зловреда на сайте заказчика решил систематизировать свои знания по этому вопросу. Самый короткий пример позволяющий исполнить произвольный php код удаленно: eval($_REQUEST['phpshell']);1. Поискать на сайте "опасные" функции: а) eval() – исполняем php кодб) passthru(), exec() и им подобные – испололняем команду ОСв) fopen(), chmod(), touch(), … – функции для работы с файловой системой Для того чтобы искать, понадобится шелл доступ и некоторые знания *nix комманд. Пример, как найти в текущей директории рекурсивно все *.php файлы содержащие функцию eval()find ./ -name "*.php" -print | xargs grep "eval("Пример, как найти последние измененные файлы за неделю: find ./ -mtime -7 -name "*.php" -prune -printfind – великолепная утилита для поиска в никсах, но синтаксис сложно запомнить, для ленивых есть отличный онлайн find помощник .2. Проверить .htaccess файлы на наличие чего нибудь подозрительного. Например можно засунуть php код в *.html такRewriteEngine on
RewriteRule ^(.*)\.html $1\.phpИли даже в css и jpg, чтоб никто не догадался! AddHandler application/x-httpd-php .php .css .jpg3. Анализируем логи. Если известно примерное время, после которого замечен бэкдор, то можно поискать подозрительное в логах. Хотя на сайте с высокой посещаемостью это будет нелегко. Пример: "GET /path/footer.inc.php?act=edit&file=/home/account/public_html/.htaccess HTTP/1.1"
200 4795 "http://website/path/footer.inc.php?act=filemanager" "Mozilla/5.0..."Многие наивно думают, что не используя самописные скрипты – застрахованы от зловредов. Это не так. Шелл-код нередко встречается и в CMS и форумах. Обычно этим грешат нулленые версии. А иногда и в плагинах.