для начала просто по открывай все файлы, часто мошенники особо не мудрят и оставляют авторские копирайты и комментарии авторов шеллов
![smile](/uploads/stickers/smile.gif)
ну и еще смотри в код, если видиш что местами код состоит из набора непонятных символов, это скорее всего кусочек кода, который подвергли шифрованию что бы спрятать шелл, еще надо разбираться в функциях, например функция system, eval и т.д из этой серии, в принципе не дожны быть в движке, их оставили злоумышленики, для своих черных дел)) и еще вообще надо смотреть, если постороние функции в коде, например файл новостей а там функции для чтения текстовых файлов, работы с директориями и т.д тож лозейки от хакеров.