@3banchi, base64_decode() to što je u eval().
@twix, osiguravanje servera je malo više od instaliranja mod_security, koji je sam po sebi đubre.
Ne mora shell da bude na http:// Chini mi se da je upravo sa mod_security pre bila fora
ftp://.../shell.txt... Toliko o zaustavljanju RFI-a.
Ne mora da bude php shell. Odnosno, disejblovanje suidnih funkcija. Može i perl (cgi) i "apache" shell (fora s' htaccess-om)
To sa phpBB-om je verovatno bilo uz pomoć LFI. Jedino tako može da se pokrene PHP shell u gif-u.
Moj predlog je da, uz ono što si ti naveo, pregleda sve PHP fajlove izmenjene u skorije vreme...uz nadu da ih nije
touch.
Edit:
Ipak bi bilo gzdeflate(base64_decode({stvar iz eval()}))
Edit #2 (@msg #6): I give up...