Цитата
teleoperator пишет: Это недостаток свободно-распространяемого ПО, крайних то нет.

Кстати не соглашусь с вами вот к примеру жумла 1,5
её давно перестали поддерживать разработчики, но у меня её не ломают
а вот 2,5 регулярно взламывают
надеюсь с февраля и её перестанут взламывать

Шелл - файл, обычно пхп(в зависимости на чем стоит сайт), залитый на сервер,и открывающий определенные привилегии взломщику, в основном это редактирование файлов сайта.
Борьба с шеллами не имеет какой-то определенной стратегии, но основные советы это:

Поиск текста eval в файлах с расширением php. Очинь хороший способ, можно любые команды подозрительные найти.

Код
find /dir/to/find/ -type f -iname "*.php" -exec grep -Him1 'eval' {} \;

Поиск файлов, измененных за последние 5 дней (не совсем выигрышный метод, так как время последнего изменения файла можно поменять.)

Код
find /dir/to/find/ -type f -iname "*.php" -mtime -5

Далее если что-нибудь находим, проверяем, действительно ли это шелл, может просто файл движка. Тогда смотрим почему мы его нашли,может файл двига просто изменен и там бэкдор.

Ну и последний совет: защищайте дирректории от записи по максимуму.

P.S. на счет антивирусов - не полагайтесь на них. Лучше позовите специалиста. Так как шелл можно так замаскировать, что не каждый взломщик вспомнит куда его дел:) Маскируют обычно код сайта в обфускаторах, или просто в base64. Так же бывает меняют расширение файла в какую нибудь неприметную картинку, при этом в хтацессе поставив условие выполнять её как пхп файл.

Вроде все написал, если что еще вспомню - напишу.

Цитата
teleoperator пишет: Может быть внедрен в уже существующие файлы, index.php, например.

это уже не файл, а бэкдор.