Yo creo que has sido atacado por algún bug de el script que estuvieras utilizando ( Joomla, Drupal, Desarrollada desde 0, etc.. ), he estado investigando un poco, quizás alguna variable no estuviera filtrada y han incluído un archivo remoto a todos tus archivos o una shell:

RFI -> http://es.wikipedia.org/wiki/Remote_File_Inclusion

¿En qué lenguaje/s estaba programada? Si me dices que sólo estaba en html.. olvida lo que he dicho arriba..

Salu2.