Eu gosto do acrônimo RAT (trojan de acesso remoto), porque se assemelha a outro tipo de coisa que você precisa se livrar da sua cozinha, e porque quando você se livrar de um e encontrar o buraco que fez e consertar o buraco e defina armadilhas e invista seu tempo para entrar na mente do rato, você ainda não conseguirá se livrar de tudo até reconstruir sua casa com concreto.
No .htaccess, uma medida temporária proposta para lidar com um servidor comprometido pode ser:
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REMOTE_ADDR} !123.456.789.000
RewriteRule .* /nopost.html [R=301,L]
Alguns ratos cagam na sua cozinha, alguns ratos ajudam outros ratos e alguns roubam sua comida.
Dado access.log mostra uma carga inteira de solicitações POST ocorrendo nesses arquivos codificados com base64 injetados, é correto supor que evitar solicitações POST como acima resolverá o problema dessas pragas se reproduzindo ainda mais, para não mencionar que elas não irão ser permitido para POST poo no chão da cozinha, entretanto?
Ou apenas para os depósitos dos ratos?
Isso pode parar alguns backdoors específicos que aceitam somente solicitações POST. Mas não vai parar backdoors em geral.
Um backdoor pode aceitar parâmetros por meio de solicitação GET, por exemplo, bad.php? comando = somecommand. Ou pode executar comandos enviados por meio de um cabeçalho HTTP personalizado.