По идее у апача должен быть файлик access.log и error.log тама много инфы! Посмари может чо и подазрительное найдешь! Вообще по идее скрипт мог быть залит через shell! Посмари уязвимости и т.д. и вообще скажи сайт то свой!!!