Выложу код, который подпихивают на исполнения уже для целевого заражения конкретных файлов сайта, на котором был внедрён скрипт banner.php, который выполняет переданный ему закодированный код (у меня это был /components/com_contact/banner.php)
К сожалению по логам не отследил самое главное – каким образом этот banner.php вообще попадает на сайт 🙁
Обновление движка до актуальной версии вроде как закрыло дыру (больше на сайте они не появляются)

В общем отследив бэкдорчик мне стало интересно, какой же именно код ему передают на выполнение – соответственно я чуток поправил код скрипта, заменив выполнение кода, на его сохранение в файлик для дальнейшего разбора …. и буквально сегодня ночью рыбка клюнула.

Не буду тянуть, вот код:

Что же делает данный скрипт?
Ответ прост – пытается везде где только сможет сделать инъекцию следующего кода (предварительно его закодировав)

Какая же функция данной инъекции?
А функция довольно интересна – это перенаправление поискового трафика на систему управления трафиком http://1letojdj.sellClassics.com/ которая уже в свою очередь будет кидать туда, куда хозяин направит.
Если зайти на зараженный сайт не с поисковика – никаких вредоносных действий не будет предприниматься, соответственно владелец заражение своего сайта заметит не сразу.

Так же я ещё имел опыт с заражением .htaccess аналогичным функционалом – только перенаправлял он мобильный трафик с помощью mod_rewrite директив.
Тут подробнее.

P.S.
Ещё одна модификация этого же скрипта