Moin!

Ich habe mir ein eigenes CMS programmiert.

Das bietet dann vermutlich Angriffspunkte.

Alle Skripte sind im Verzeichnis "admin", das durch htaccess geschützt ist.

Wie kommen die Inhalte, die im CMS gespeichert sind, denn in die Welt hinaus?

Außerhalb gibt es einige Verzeichnisse mit 777, in die durch PHP z.B. Bilder reinkopiert (nach Upload) werden.
In diesen Verzeichnissen lagen diese ominösen Dateien.

Das mag vermutlich dann der einzige Ort sein, in dem man im Safe-Mode was speichern kann.

Kann durch so etwas ein Backdoor-Skript eingeschleust werden?
(Vorausgesetzt htaccess-Passwort wurde nicht geknackt)?

Das gehackte Passwort wäre der zweite Ansatzpunkt. Prüfe deine Server-Logs. Alle Zugriffe auf den Admin-Bereich werden dort, mit Username, geloggt und können nachvollzogen werden. Deinen eigenen IP-Raum kennst du - Zugriffe von anderen IPs, oder häufigere Versuche von anderen IPs, die mit 401-Status abgewiesen werden, deuten direkt auf diesen Weg des Hackens hin.

Sonst gibt es keine Skripte, die auf diese Verzeichnisse zugreifen.

Quellcode?

Kann das im Safemode großen Schaden anrichten?

Es ist unerheblich, ob dieses Skript böse sein kann oder nicht. Es hat zumindest ausreichend Prüfungen integriert, um auf allen bekannten Wegen beliebigen Code ausführen zu können (ganz am Anfang wird auf Verfügbarkeit aller möglichen Funktionen wie exec, passthru etc... geprüft).

Wichtiger ist, wie dieses Skript auf deinen Rechner kommen konnte. Egal ob DIESES Skript böse ist - irgendwas auf deinem Server ist derzeit EBENFALLS und mit Sicherheit böse.

- Sven Rautenberg