Ребят, решил поделиться, может кому пригодится.
Короч, на одном из клиентских серверов обнаружил шеллы, что привело меня в замешательство. Привело потому, что все сайты у клиентов написано мною на моем же движке, кода в паблике нет. Я все равно грешил на себя, и перерыл все коды – уязвимостей не нашел, но факт есть факт – шеллы залиты, причем довольно давно. Какой-то косяк на сервере не позволял их выполнять – это и спасло сайты. логов давно уже не было, поэтому я все почистил, написал скрипт монитор (проверка на наличие файлов в папке – шеллы заливались только в папки с правами 777) и сегодня пришел звоночек, что файл появился. Его содержимое

proftpd: 83.144.77.106:54317: SITE cpto /tmp/.

Короче, гуглеж привел меня к багу в сабже, о котором можно почитать тут
http://habrahabr.ru/post/257027/ и собсно на багзилле http://bugs.proftpd.org/show_bug.cgi?id=4169

у меня оказалась версия ProFTPD Version 1.3.4a
которая тоже является уязвимой.
уязвимость сохраняется до ProFTPD 1.3.5
Рекомендую владельцам серверов проверить свои версии ProFTPD :)