Таблица лидеров

Нет. Речь идет не о загружаемых файлах. А изображениях для аватаров. Что является изображением не решает администратор. Это решает ПО, т.к. оно его обрабатывает на сервере. Старые версии DLE поддерживали меньше форматов, актуальные существенно больше.

Возможно это атака, нацеленая на веб-интерфейс LuCI для маршрутизаторов. cgi-bin/luci/;stok=/locale: Это путь к CGI-скрипту в интерфейсе LuCI. LuCI - это веб-интерфейс для маршрутизаторов OpenWRT или аналогичных устройств. form=country&operation=write&country=: Это параметры, передаваемые CGI-скрипту. В итоге tenda.sh загружается в папку /tmp, удаляет все файлы,загружает какой-то сценарий оболочки с удаленного сервера и выполнить его. Ну вот както так.

Пытается загрузить исполняемый файл (в linux) tenda.sh, установить на него нужные ему права и запустить. А вот чтО конкретно запустить уже хз.

Deny from далеко не на каждой версии Апача можно выполнить, плюс этот запрос может вообще идти не на Апач. Как правильно запретить доступ на сервер нужно узнавать в службе поддержки.