Могли послать через куки,могли через referer,подробнее тут http://habrahabr.ru/company/mailru/blog/238475/
Да,это скорее всего взлом всего аккаунта т.к. у большинства(если не у всех) хостингов всем вашим сайтам на сервере хостинга выдаётся один аккаунт с одинаковыми правами на все ваши сайты,а это значит что взломав один из ваших сайтов,доступ получается ко всему вашему аккаунту,чтобы этого избежать нужно арендовать сервак и правильно его настроить,конкретно нужно под каждый ваш сайт создать отдельного юзера и возможность редактирования определённого сайта связать с определённым юзером,тогда в случае получения доступа к одному из сайтов,доступ у злоумышленника будет только к нему.
Вообще не плохо бы глянуть дату создания файла(могли поменять но вдруг) потом посмотреть логи за эту дату,мб там будет конкретное обращение к бекдору в ломаной теме через гет запрос,если же обращение через пост запрос,то вы скорее всего данным способом не узнаете есть бекдор в скрипте или нету,тогда можно посмотреть ip,которые обращались к шеллу,если там всего 1 ip то вероятнее всего и заливка происходила с этого же ip,значит можно посмотреть в логах к каким скриптам обращался этот ip перед обращением к шеллу и искать в них. Так же,если всё таки бэкдор через метод POST, можно удалить все шеллы,которые можешь найти и после данной процедуры накатать скрипт,который логировал бы все POST запросы,а там уже смотреть. Может быть вообще никакого бэкдора нету и взлом этих сайтов произошёл из-за не обновлённого какого-нибудь плагина на одном из них,или же была сбручена админка(сложность пароля оцените сами и решите допускать ли данный вариант). Мог быть сбручен FTP,опять таки проверьте пасс на прочность. Могла быть использована не так давно найденная xss,которая активна до версии 3.9 включительно вроде бы,тогда у вас просто украли куки,вам необходимо обновить wp до последней версии, и поменять пароли. По поводу чистки,впринципе можете удалить всё,оставив только БД(оочень маловероятно что шелл обитает там) и поставить чистый wp. Можно попробовать использовать ai bolit,сам не использовал,но если честно не очень доверяю этому скрипту т.е. спрятать можно оочень хорошо.
0->30
В принципе доволен
