судя по приведённому коду файла, это некий php-shell.
Может создавать файлы и записывать туда данные
Как попало? На этот вопрос могут ответить логи: смотрите кто к этим файлам обращался и с какого IP. Далее ищите этот IP во всех логах. Самые распространённые варианты:
1. кто-то украл пароли доступа к сайту
2. уязвимость в сткриптах веб-сервиса позволяющая удалённый аплоад файлов
3. уязвимость в сткриптах веб-сервиса позволяющая удалённый аплоад файлов через обращение к БД
Я использую WP и на нём есть такая фича — Перед появлением комментария: Автор должен иметь ранее одобренные комментарии… То есть если он первый раз прокомментировал статью и вы одобрили его коммент, то в следующий раз спаммер уже беспрепятственно может оставить коммент спамерского содержания.
