Si no tienes formularios para subir archivos, mucho me temo que no lo están haciendo por PHP, sino ingresando al servidor, tal vez por SSH. Revisa los permisos de todas las carpetas, si encuentras alguna que esté en 777 cámbialo a 755.

P.D. Al decir "no hay formulario público para subir"... te refieres a que por ahí tienes algún formulario que sí puede subir archivos, pero no hay un enlace visible?... si es así, revisa el código para asegurarte de que estás validando todo correctamente.