Проверьте логи ftp, web access logs (логи веб сервера), bash history (на всякий случай). Если файл залили по ftp то там будут упоминания о файлах 12.php и goge.php — увидите кто и когда, и откуда.
Если через дыру в приложении, тут сложнее, но хотя бы увидите когда и «примерно как» — поищите первое обращение к ним в логах веб сервера.
«Проверьте» — это что-нибудь вроде команды
grep goge.php /path/to/log/file
bash history (обычно файлик /home/username/.bash_history) чтобы проверить не было ли подозрительной активронсти от пользователей, которые заходили на сервер по SSH
Ну и не лишним будет сменить пароли, хотя бы на FTP.
это если вкратце «что делать» :)