с бэкдором нужно работать через админку, это снизит кол-во запросов к бэку, светит ИП админки а не твой, не проблема прикрутить ротатор прокси. Сам бэдор я считаю должен быть ОЧЕНЬ индивидуален и иметь логику приложения и придерживаться его стилистики. Такие бэки живут очень долго. Банальный move_uploaded_file проживет дольше чем system. И по поводу антивирусов/админов/грепов вы тоже не забывайте. Ваши eval бэки грепаются в первую очередь, и base64. Айблит уже встроен в Plesk, ISPmanager а вы тут выкатить хотите на system($_GET[1]);

Шелы вообще лучше не держать на сервере, залил, сделал дело, удалил.