Ok,
ya tengo 2 sospechas, pero la que mas creo es un error de seguridad de un
include.
Que el hacker aprovecho el include para incluir algún archivo que cree otros en mi hosting, con eso saco todos los datos de mis archivos y los edito todo con php.
Igual ya solucione el esa vulnerabilidad.
Gracias
Salu2