Действительно ли необходимо включать / запущенный каталог в резервные копии?

Если бы это был я, то я сначала посмотрел бы на файлы, которые подаются. Если у кого-то был доступ для записи к Вашим веб-файлам, они все собираются быть подозреваемым - возможно, что любой из существующих Сценариев PHP был изменен для включения другого бэкдора. Вы могли посмотреть на время изменения файлов, чтобы видеть, был ли кто-либо недавно изменен, но даже это не на 100% защищено. Что-то, что распространено, для взломщиков к выкачанным строкам должностного лица, который запутывает вещи немного. Из-за этого мне нравится искать любые "исполнительные" функции в Сценариях PHP. Это - на самом деле функция, которую можно отключить.

После прохождения через файлов я удостоверился бы, что новая среда, которую я создаю (потому что я больше не доверяю тому, который получил backdoored) менее уязвима для таких нападений. Для одного я ограничил бы доступ для записи на веб-сервере так, чтобы пользователь, услуга работает, как не может создать файлы. Смонтируйте каталоги, в которые они должны записать как noexec и т.д. Существуют другие опции также, в зависимости от Вашей ОС.

Если Вы хотите разыскать источники бэкдора, Вы могли бы просмотреть свои блоги для первой ссылки на закулисный сценарий, то взять IP, который получил доступ к нему и взгляд на то, к чему еще на Вашем сервере они получили доступ.