судя по приведённому коду файла, это некий php-shell.
Может создавать файлы и записывать туда данные
Как попало? На этот вопрос могут ответить логи: смотрите кто к этим файлам обращался и с какого IP. Далее ищите этот IP во всех логах. Самые распространённые варианты:
1. кто-то украл пароли доступа к сайту
2. уязвимость в сткриптах веб-сервиса позволяющая удалённый аплоад файлов
3. уязвимость в сткриптах веб-сервиса позволяющая удалённый аплоад файлов через обращение к БД
