cioè tu nella root del sito hai trovato dei file che invece dovevano essere da un'altra parte? Ma non è che semplicemente il tuo script "che emula l'ftp" si è sbagliato e ha scritto nel posto sbagliato?

Cmq per il discorso intrusione non saprei, ho hai un buco enorme nel tuo sistema php, oppure dovresti chiedere ad un sistemista di capire dai log di sistema cos'è successo...