Перехват файлов cookie сеанса НЕ должен позволять злоумышленнику создавать новые файлы на вашем сервере. Все, что он мог сделать, это дать доступ к сеансу аутентифицированного пользователя. Это будет зависеть от вашего кода и / или конфигурации сервера, которая позволит загружать произвольные файлы в webroot сайта.
Чтобы проверить наличие удаленных компромиссных попыток, получите время создания подозрительных файлов (search.php, 7.php.jpg) и т. Д., А затем пролистайте журналы вашего сервера, чтобы увидеть, что происходило в это время. Если вы регистрируете идентификатор сеанса вместе с остальной частью попадания, вы можете легко увидеть, был ли сеанс перехвачен, так как он будет использоваться с двух или более разных IP-адресов в течение времени жизни сеанса. Было бы особенно очевидно, если исходный пользователь вошел в систему с одного провайдера, а затем внезапно появился переход к совершенно другому провайдеру.
И, конечно, как проходят ваши сеансы? Печенье? PHP trans_sid (передача сеанса в скрытые поля формы и строки запроса)? trans_sid особенно уязвим для перехвата, так как простой обмен ссылкой на что-то, что ваш сайт также передает идентификатор сеанса, и любые внешние ссылки на вашем сайте будут иметь идентификатор сеанса, отображаемый в реферер HTTP.