разве что перегрузкой операций с сокетами с ведением лога. и то придется очень много функций перегрузить.

практичнее будет у разработчика сайта попросить чистую версию скриптов и сверить файлы. если речь идет о коробочном решении, то скачать чистый дистрибутив.

дык я с 20% вероятностью и так скажу что этот скрипт - index.php :) благодаря ООП-пропаганде единой россии многие выбирают именно такой способ построения приложения когда все запросы обрабатывает единая точка входа.
lsof только это сможет показать. и то не покажет файлового чтения в случае использования акселераторов кода.

тут все сложнее
но есть выход . это функции apd http://ru2.php.net/manual/en/function.override-function.php . Там в комментах есть примеры.
или в pecl что-то подобное может сделать runkit.

Alibek B.evgeny12000В tcpdump вижу как он высылает наружу разную инфу на удалёный хост.
Какая именно информация?
Если эта информация считывается из файла или устройства, можно попробовать найти обращения к этому файлу или устройству.
Стандартная хакерская закладка просто шлет IP посетителя и user-agent. В ответ возвращается html-код который нужно вставить на страницу.
Цели обычно две :
- либо по специальной базе уязвимостей ( и для этого как раз и нужен user-agent) подбирается эксплоит для браузера, чтобы запустить на компьютере посетителя код. Два раза одному и тому же IP код не показывается, чтобы пользователь подумал что это "винда глючит. хрен с ней. один раз." К тому же, при анализе сложнее потом поймать этот код.
- либо накрутить посещаемость своих сайтов. довольно тупо, но если на большее фантазия не способна, то сойдет.

Вот исходя из этого думайте.

evgeny12000Закрой этот хост файерволлом и посмотри кто начнёт ругаться.

ну что за хакеры пошли, ошибки подавить не могут. позор.