Navegando um pouquinho pelo grande e maravilho Youtube, olhem o que eu achei:

O link deste vídeo é uma dos melhores guides que explica passo a passo como explorar a vulnerabilidade do TimThumb, a qual o coruja de ti foi ownado – é o que as últimas analises apontam. Vejam que com essa exploração é possível instalar um Wshell, já indiquei vários por aqui, e executar os mais diversos tipos diferentes de comandos.

Muitos blogs e sites têm divulgado que a solução é a atualização deste carinha, o TimThumb. Pois bem, não é só isso não. Vc deve sim atualizá-lo e depois alterar mais alguns parâmetros como indicado no seguinte post.

Dai você parte para segunda fase, descobrir qual das suas centenas ou milhares de imagens foram comprometidas analisando o conteúdo dos arquivos procurando por algumas strings como php, <? e base64.

Removam os arquivos.

Nota do blogueiro: Ainda estou analisando alguns logs e pontos de configuração da host que fica o coruja, o fato é que há suspeitas da existência de algum 0day não divulgado e que podem estar utilizando contra o blog. ainda não tive acesso a todos os logs do meu webserver e preciso aguardar os novos ataques para testar as implementações de segurança.