Wenn ein Angreifer schon Zugriff über eine PHP Shell erlangt hat, müsste er innerhalb des web-Verzeichnisses eigentlich auch in der Lage sein, die modification time von Dateien zu verändern und damit zu verschleiern, z.B. über time(). Auf das Änderungsdatum einer Datei allein würde ich mich nicht verlassen.