Inclusión de ficheros, inyección de código, shells, etc.

# Funciones que podrían ser sospechosas.
grep --color -iRPn "(net_ping|eval|assert|create_function|exec|pcntl_exec|proc_open|popen|shell_exec|passthru|shell_exec|system|phpinfo|str_rot13|base64_decode|chmod|mkdir|fopen|fclose|readfile|php_uname|eval|tcpflood|udpflood|edoced_46esab|move_uploaded_file|preg_replace|stripslashes|gzuncompress) *\(" /dir/code
 
# La instrucción "goto" y cadenas en formato hexadecimal suelen ser muy usadas en ofuscaciones de código.
grep --color -iRPn "goto " /dir/code
 
# Código hexadecimal.
grep -RiaP '\\x([0-z]+|{[0-z]+})'
 
# Buscar códigos sospechosos en volcados de base de datos.
grep -i '<?ph\|<iframe\|display:none' ficheroSQL.dump

Cross-site scripting (XSS)

grep -i -r -e "\$_GET" -e "\$_POST" -e "\$_COOKIE" -e "\$_REQUEST" -e "\$_FILES" -e "\$_SERVER" | grep “echo”

grep --color -iRPn "\.\.\/|%3C|%3E|\<|\>|alert\(|xss|document.cookie\)|javascript|vbscript|document.location|\-\-|\/\*\*|\&\#x3E|\&\#x3C|\&\#6|CharCode|amp\;|src\=|\=.*\.js|@@version|database\(|user\(|union.*select.*|where.*like|where.*\=|drop.*table|truncate.*table|delete.*from|insert.*into|update.*set|load_file|libwww-perl|sqlmap|.*sp_password.*|.*\%20xp_.*|.*EXEC\(@.*|CAST\(|declare\%29|benchmark|localhot|127\.0" /var/log/apache2/access.log

select|insert|cast|set|declare|drop|update|md5|benchmark