c99shell alias bab.php

Sziasztok,

Otthon pörgeti a villanyórát egy kis szerver (Apache/2.0.54 (Ubuntu) PHP/4.4.0-3ubuntu2), amin drupal (4.6) cms és egy torrettrader tracker fut. Tegnap egy jóember -valószínüleg nagyon unatkozhatott- úgy gondolta, hogy kipróbálja ezt az orosz c99shell php scriptet ezen a szerveren. Mivel az oldalon van egy file feltöltési lehetőség -egy perl script- amihez még nem kell regisztrálni, így azzal feltöltötte a bab.php nevű játékszerét.
Ezekután a vakszerencsémnek köszönhetem talán a következőket:
Kereste, de nem találta a szerveren :)
Mivel ő a standard helyeken (upload(s), uploaded, files.. ) kereste a feltöltött file-t, viszont nálam nem ilyen beszédes helyekre kerülnek a feltöltött fileok.
A szerencsém az volt, hogy az illető valószínüleg egy pancser lehetett mert csak 4-5-öt probálkozott a dologgal aztán otthagyta a dolgot. (a logokból legalábbis ez látszik)
Ha regisztrált volna egy kamu logint magának és azzal fellép az oldalra, akkor sajnos az ott megjelenő menüpontok között könnyen rátalált volna a feltöltött filokat listázó menüpontra.. :(
És itt jön képbe a bénaságom (rutintalanságom), ugyanis sajnos abban a könyvtárban az apache vígan futatta a .php fileokat :( Nem volt tiltva ez a lehetőség. Mostmár ezen ténykedéséről természetesen lebeszéltem.

Tegnap még kíváncsiságból elinditottam azt a php scriptet.. de csak utánna jutott eszembe, hogy azzal hogy futtatom lehet, hogy hülyeséget csináltam, mert mivan, ha húsvéti tojásokat tud így is elrejteni a rendszerben..

Ezekután átnéztem a rendszert.. futó processzek, web,tmp könyvtárak tartalma, chkrootkit report (ez egyébként naponta is lefut), illetve netstat bogarászás de nem találtam egyelőre számomra semmi gyanús dolgot...

A kérdésem az lenne, hogy tud-e valaki esetleg valami jó szisztematikus eljárást/tool-t, hogy ilyen esetekben -a totál rendszergyalú kivételével- hogyan lehet nagy biztonsággal a rendszert tisztába rakni/ellenőrizni?
Illetve volt-e már dolga valamelyikőtöknek ezzel a c99shell nevű php csodavitamingombóccal?