Axanor, еще вариант - если это инджекнутный стрипт - то можно прочесать БД на поля с кусками пхп кода. Так-же можно погрепать исходники сайта на предмет подозрительный юрл-ов и регекспов.
А вообще, самый надёжный вариант - если проблемма reproducible - просто поключится с тестовой машины и проследить запрос в сервере от начала до конца, чтоб понять где именно в него добавляется мусор. Сначала стоит проверить на каком уровне это перехватывается - если это на уровне ОС, то тогда надо смотреть что это за процесс, если в самом веб-сервере, то тогда искать что за скрипт гадит и как он туда попал.