"Find in files" по фразам:
- eval
- http (с явными ссылками на сервера злоумышленников)
- base64_decode
- gzinflate
- str_rot13
- fsockopen
- pfsockopen
- stream_socket_client
- passthru
- preg_replace (с ним обычно шестнадцатеричный код символов, вроде \x65\x76\x61\x6C\x28\x67)
Хороший материал по теме:
Как узнать, что ваш PHP сайт был взломан 
