Для просмотра ссылки Войди или Зарегистрируйся в помощь, внимательно смотри то, что он тебе подскажет. Обращай внимание на конструкции base64_decode (рекурсивный поиск), а также на список шеллов, которые выдаст скрипт, кроме этого поищи все открытые ссылки на твоем скрипте. Также нужно проверить базу скрипта, бывают хитрые варианты хранения последовательностей под разные цмс. В общем штука геморная, сам обычно маюсь, когда просят, чищу 3-4 часа (если сильно засрано). Кроме этого нужно проверить разного рода вхождения на загрузку файлов ($_FILES) , изменение файлов (если добавляют доп. код), и проверить содержимое файлов .htaccess (там иногда встречаются редиректы, или добавочные строчки на выполнение php не в php файлах). Поищи внешние картинки, и адреса (вычисли с копирайтов) рекурсивным поиском по js. Некоторые "нуленые" скрипты могут содержать закодированные файлы через zend, и т.п., но это уже другая история. Есть еще одна хитрость, если вычислишь шелл, смотри на дату его добавления, а потом отсей в +/- 2-3 дня к этому файлы, у которых будет дата изменения равна дате добавления шелла, открывай и смотри эти файлы внимательно. Могут быть "обходы" авторизации (встречал, но редко, когда через доп параметры инициализируется сессия админа цмс, но это реже). Кроме этого могут быть разные включения в js. Также ищи еще <iframe,<a это уже реже, но все еще встречается. Но помни, ты должен знать хорошо скрипт, с которым работает. Также поставь сниффер пакетов, и побегай по ссылкам скрипта, если что осталось, сниффер поймает и покажет, а без сниффера можно воспользоваться в твоем случае инструментами вэб мастера в гугл хроме. Там есть онлайн просмотр, куда идут запросы со страниц. Учти еще одно: многие "авторы" предусматривают выполнение скрипта на localhost без стучалок, а потом вредоносный код активизируется непосредственно на сайте. Поэтому ищем рекурсивно по файлам localhost, если находим, смотрим код, заключенный внутри. Если там что-то странное... Спрашиваем-) Советуемся-)
