Посмотрел в логах, нарыл подобную строку
admin@megahyiptracer.com:dokwill
Может банально в то время использовался один пасс?
Или сбрутили мыльник dokwill[at]rambler.ru, потом восстановили логин/пасс от фтп?
Зыж в гк скрипте ещё есть активная xss, вполне возможно, что была именно она использованна.
(пхп инклуд в Smarty у меня не прошёл ни на одном мониторе/хайпе, погуглил ещё - нашёл описание 1 в 1 для совершенно другого скрипта, но там тоже были эти-же файлы. Там прокатывало, возможно автор просто решил выпендриться и запостить "уязвимость" для гк скриптов.)