Backdoor. W cache pewnie dlatego że ten katalog jest zapisywany.
Polecam użyć: http://phpsec.org/projects/phpsecinfo/ a potem zastosować się do zaleceń (musisz mieć dostęp do modyfikacji php.ini).
Usuń te pliki, potem zmień hasła do wszystkiego na mocne, skontaktuj się z hostingiem aby sprawdził czy nie było np. jakiegoś logowania na FTP, sprawdź też logi dostępu serwera HTTP i czegoś w stylu:
xxx.xxx.xxx.xxx - - [dd/mm/yyyy:hh:mm:ss -0700] "GET /path/footer.inc.php?act=edit&file=/home/account/public_html/.htaccess HTTP/1.1" 200 4795 "http://website/path/footer.inc.php?act=filemanager" "Mozilla/5.0..."
Jeżeli chodzi o katalog tmp, to jest on domyślnie tworzony przez IPB, nie ma w tym nic podejrzanego.
Możesz też przeszukać pliki które zawierają base64_decode(), eval() (pewnie będą też pliki od IPB).
Bardzo dużo w tym przypadku zależy od zabezpieczeń serwera.
Tak może wyglądać taki backdoor po uruchomieniu
PS: Sprawdź czy nie ma podejrzanych plików ponad poziom plików forum.