Amperka с планшета.

потому и из пушки.. по идее, можно копию сервера в песочнице запустить. хотя бы в chroot'е.
скопировать туда имеющие отношение к боевому серверу файлы, и отловить not found'ы - что-то мне подсказывает, что скрипт положили куда-нибудь подальше. если не отловятся - значит, все хуже, и файл или фрагмент текста косит под легитимный.

тогда - анализ логов, все равно там будет только ограниченное число файлов. позаходить с планшетов и разных компов, возможно, перебросить туда часть коннектов с боевого, посмотреть, отличаются ли логи. если атака наблюдается и разница в логах заметна - все понятно. если нет - вдумчивое выкуривание исходников ванильного движка и патчей в сравнении с тем, что есть.

а может, код в БД хранится под видом сообщения или настройки какой-н...
может и так получиться, что закладка "от разработчика" - или сами положили, или им подложили.

трудоемко и грустно все это, в общем.

и, конечно, делать все это не сейчас - скорее всего, наш потенциальный злоумышленник читает форум и аккуратно убирает за собой.
нужно ждать следующего подобного инцидента, ничего в обсуждениях не писать до того, как будет снапшот ФС и, возможно, БД.

p.s. параноидальный неквалифицированный бред

 

Safari iPad It's ok

 

очнулись уже поправили давно