Помогите понять простую строчку на PHP.

Если любым способом (GET, POST, COOKIE) передан параметр с названием qqq, то он берет значение этого поля и выполняет, что же там передается.

Т.е. с помощью данного кода на Вашем сайте можно выполнить любой код. Начать изучать можно отсюда: http://php.net/manual/ru/reserved.variables.request.php

Похоже у меня проблемы. Что теперь делать?

Вирусняк вставил бекдор.

да нет проблем, удалите его.

Хотелось бы понять, как это произошло. Где еще на сервере покопать и что поискать?

Спасибо.

Сначала проверить нужно ваш компьютер на вирусы, затем сменить пароль от фтп, а уже потом удалять пакость. И проверить через пару дней, не появилось ли снова.

Поройся в логах сервера где был запрос на любой твой сайт с параметром qqq. Возьми этот ip и посмотри по истории подключений через ftp и ssh.

Дальше посмотри этот ip в логах запросов на другие свои сайты, скорее всего какой-то open source проект пробили на твоем серваке.

Можно проверить сайт и сервер хотя бы начиная с таких скриптов:

http://revisium.com/ai/

http://cbl.abuseat.org/findbot.pl

https://www.rfxn.com/projects/linux-malware-detect/

И все в таком духе.

---------- Добавлено 06.10.2014 в 02:00 ----------

viperwpadd, если долбили POST запросами, то он не узнает, когда и кто передавал qqq поле.

Только если GET'ом.

grep qqq /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -n

Так увидишь все IP адреса и количество запросов с параметром qqq к твоему веб серверу (если nginx).

Ну и так же можно потом сделать grep IP.IP.IP.IP /var/log/nginx/access.log узнаешь, куда еще обращался злодей. Возможно еще зараженные файлы найдешь.

Нашел на FTP PHP-файл с шеллом. :(

Поменял пароль на FTP, но думаю, что это попало туда не таким образом. Как еще оно могло там оказаться? Вирусы на компьютерах не водятся, тщательно за этим слежу.

Через уязвимости в вашем сайте.