По моему скромному опыту: это делают боты через уже известные дыры в джумла/пхпбб/етц, заливают пхпшелл и далее по тексту. Как правило, заражение происходит примерно в то же время, что и заливка шелла, и шелл не удаляется. Поэтому надо посмотреть время редактирования/создания сомнительных файлов, посмотреть в логах вебсервера в этот период обращения к необычным урлам и поискать там искомый шелл. После нахождения шелла посмотреть время его создания и смотреть логи на предмет обращения точно в это время к вебсерверу, дабы найти какой именно урл запрашивали, чтобы активировать дыру и загрузить через нее шелл.
Ну как один из вариантов.