quello in php prende qualsiasi codice gli venga passato in un cookie e lo esegue.

Fossi in te, cambiere al volo le password ftp e controllerei il pc personale con un buon antivirus.
Ultimamente in 90% dei casi, il motivo e' un trojan che si prende le pass salvate su filezilla/simili e le manda al malfattore. Poi ovviamente esiste anche la possibilita' che i tuoi script siano bucati - dai un occhiata ai log di apache se vedi chiamate strane.