Ich habe das mal (nach gründlicher Überlegung) in der Datenbank getestet:

MariaDB [test]> SELECT+0x6461726b31636f6465,[…]0x6461726b3133636f6465--\G

*************************** 1. row ***************************
 +0x6461726b31636f6465: dark1code
  0x6461726b32636f6465: dark2code
  0x6461726b33636f6465: dark3code
  0x6461726b34636f6465: dark4code
  0x6461726b35636f6465: dark5code
  0x6461726b36636f6465: dark6code
  0x6461726b37636f6465: dark7code
  0x6461726b38636f6465: dark8code
  0x6461726b39636f6465: dark9code
0x6461726b3130636f6465: dark10code
0x6461726b3131636f6465: dark11code
0x6461726b3132636f6465: dark12code
0x6461726b3133636f6465: dark13code

1 row in set (0.00 sec)

Das war offenbar ein Test, ob Du die Daten unbehandelt in eine Abfrage übernimmst. (Es scheint sich zu lohnen, das in der Breite zu testen.) Sollte auf der Webseite irgendwo irgendwas mit "/dark[0-9]{1,2}code/" erscheinen (was offenbar das Ziel der Aktion ist), dann würde darauf hin wohl die eigentliche Aktion erfolgen. (Und sei es der Verkauf der Info über die angreifbare Webseite an weitere solche netten Kerlchen.)

Das erklärt aber nicht, warum das 88 Sekunden gedauert haben soll. (Der Test lief trotzdem in einer lahm gemachten virtuellen Maschine...) Das UNION mit dem Subselect hat hier keinerlei weitere signifikante Auswirkung. Gab es parallel etwas wie eine DDoS-Attacke? Selbst ein gleichzeitig laufendes Backup der DB sollte nicht solche drastischen Auswirkungen haben.

Ich nehme ja an, Du hast auf ORT, KM, lg einen Index - Oder?