Muhtemelen Cgi Telnet isimli shell htaccess dosyasında oynamalar yaparak shell'i jpg olarakta çalıştırabiliyorlar.
a=domainsuser uzantısıylada muhtemelen sunucudaki siteleri listelemişler. Ordanda sizin sitenize tıklayarak gelmiş olabilirler o yüzden ref olarak belirtilmiştir.
kontrol ediyorum hocam sağolun..
Script özelmi ?
Muhtemelen üyeliğe dayalı bir sistemse eğer, avatar yükleme vesaire gibi alandan resim formatlı shell atmışlar.
Upload kısımlarını kontrol edin.
Hayır özel değil wordpress alt yapısı