Estimados he avanzado con este tema.

Lo primero que hice fue colocarles un filtro a mis formularios para que no permitan subir cualquier tipo de archivo. Ahora sólo permiten .PNG, .JPG o .GIF.
Ahora mi consulta es esta: Estos formularios si bien dejaban subir cualquier tipo de archivo, mandan esos archivos a una subcarpeta x del servidor. O sea NO a la carpeta raíz. Cuando sucedió el ataque no encontré ningún archivo extraño en esa subcarpeta. Sólo encontré dos archivos extraños en la raíz: uno que se llamaba x.php (un formulario) y el index.php con el mensaje “security not found” y un muñequito que baila…
Mi consulta es ¿de qué manera pueden haber manipulado mi formulario para que suba archivos a la raíz del sitio cuando yo lo programé para subir archivos a una subcarpeta?

Les agradezco su ayuda y espero sepan entender mi preocupación!!