Olyat láttam, Jomla bugot kihasználva feltolt egy php-t, azt meghívva, komplett web-es filemanager, file editor, shell-t és crack toolt elért weben. Következő lépésnél egy (vagy sok) meglévő php elejébe berakja a kódot úgy, hogy egyetlen megfelelő get-es paraméterrel hívva az adott linket a saját cucca indul el, különben az eredeti oldal fut. Így a méret és dátumváltozáson kívül fel sem tűnik, tűzfal nem fogja meg, apache logban a get paraméter tűnhet fel. Openbasedir-en nem ment át szerencsére, igaz nem volt közös tmp könyvtár. De innen is elkezdhet csomó rosszaságot csinálni, a spam bot-tól kezdve..