В процессе поиска шелла на одном сервере было написано расширение(PHP extension), которое перехватывало запросы к MySQL и передавало в user ф-цию php скрипта, скрипт регистрировал всю информацию о пользователе(запрошенный URI,GET/POST/COOKIE, стек вызовов, через которые прошел запрос и т.п.). Была создана ловушка на базе расширения, auto_prepend_file, кроне, bash и PHP скрипте. Результатом стала поимка хакера, обнаружение всех спрятанных шелов и 2х PHP бэкдоров.