Eu costumo sempre remover os upload.php, pois 90% nao tem tratamento dos arquivos que sao upados...

Alem disso, procurar por arquivos como c99.php, brow.php, ou outros, q possam ser traps.

Abraços.