Просёк фишку... сам код шелла лежит в tmp, а в действие приводится через другой заражённый скрипт, лежащий где-то в веб-директориях.
Странная система и непонятно чем руководствовались те, кто её придумал... спрятать в скрипте eval($_COOKIE['x']); куда проще чем вышеприведённую зверскую конструкцию, которая бросается в глаза даже при беглом просмотре кода.