前に受けたハッキングの手口が何となく分かったから書いとく

@サーバーのアカウントを取る
AGoogle等を使って同じサーバーでMTやWordPress等のMySQLを使ったページを見つける
BPHPで passthru("ls /home/Aで見つけたページのユーザー名/public_html/パス"); とスクリプトを書いて実行
CMySQLのパスワードが書いてありそうなconfigファイルを見つける
DPHPで passthru("cat /home/Aで見つけたページのユーザー名/public_html/パス/Cで見つけたファイル名"); とスクリプトを書いて実行
Eするとconfigファイルを見ることができるからMySQLのパスワードを探す
Fユーザー名とDで見つけたパスワードでFTPにログイン(MySQLとFTPのパスワードは同じ)
Gファイルを書き換える

多分これでいけると思う
元々passthru(); でのコマンド実行に制限を加えてないことは知ってたけど(サーバーのスペックとか見るのに使った)、ユーザー2つもってたから試しにやってみたら違うユーザーのファイルにまでアクセスできた。