HTTP_ACCEPT içerinde http ile başlayan bir şey varsa onu alıp dizine kaydediyor. Büyük ihtimalle shell yüklemek içindir.
üstad dizinde 2 tane shell dosyası buldum ve mysql user table da admin yetkileri verilmiş kullanıcı buldum (panelde gözükmüyordu). bunları temizledim. acaba bu http_accept dedigin şey nedir. Bu dizine yollanan dosyalar nerden geliyor serverda biryerde gizlimidir ?
$fp = fopen($f, "w"); bunla bir dosyası sana yazdırıyor içinde de başka çekmek istediği dosyalar vardır büyük ihtimal ya da direkt shell atıp onun üzerinden ilerleyebilir. daha sonra CURL ile de yüklemek istediği dosya işlemine başlıyor.
CURL genelde dosya indirme işlemlerinde ya da bir sayfayı çağırma işlemlerinde kullanılır.
curl_init yaptığı url önemli aslında ona baksana $ur variablesine