Посмотрите лог файлы доступа на фтп и обязательно загляните в процессорную нагрузку сайта. По айпи найдёте злоумышленника. Ну и всегда сайт можно восстановить из автоматических резервных копий.