Помогите ! Взломали !

Взломали систему, создали файл php (назовём его show.php) к которому постоянно обращаются и он выводит информацию на экран.
Сам файл нашёл, самое обидное что к этому файлу подключаются через какой то другой файл на моем же сервера.
То есть в accesslog-е вижу обращения к show.php с того же IP.

То есть где то на сервере существует файл с чем то на подобие
<?php
echo file_get_contents('http://....../show.php');


Теперь вопрос:
Если у апачи есть accesslog в котором видны все обращения к нему.
Есть ли аналогичный лог в котором видны все выходящие обращения ?
То есть в котором я смогу увидеть какой php обращается к show.php.

Есть у кого то другие идеи ?

 

Искал по разным словам ... Не находит ...
Возможно сделана какая то хитрость типо

PHP:

1. $file_name="s"."h"."o"."w"."php";

 

На сервере около 150 сайтов построенные абсолютно на разный системах.
Проверить все file_get_contents это сложно ... Их тысячи ...

 

Сложно не серверу ...
А сложно мне просмотреть тысячи полученных результатов.
К тамуже ключевых слов может быть очень ... То есть это как искать иголку в стоге сена.

Если бы как то можно было контролировать выходящие запросы. То тогда там можно было обнаружить этот show.php

 

Смотрю в access.log, нашёл обращения к show.php, теперь что значит "глянь какие в логе затронуты соседние скрипты" ?
Вы имеете виду найти запросы которые были сделаны в туже секунду ?

Если да, то в принципе это идея ... Правда есть одна трудность, файл access.log у меня для каждого сайта свой, тоесть мне нужно посмотреть это в 150 местах и проанализировать тысячи строк ... Сложновато получается ... :-(