Meu palpite é que eles conseguiram a senha do seu servidor com um Trojan. Verifique seu computador o mais cedo possível, especialmente se você armazenar as senhas do servidor em qualquer programa (navegador, clientes ftp, comandante total, etc.) Btw: Eu estou supondo que você está usando o windows
Sobre o rastreamento do hacker, não será fácil. Primeiro, verifique os registros de acesso a partir do momento em que isso aconteceu. Você provavelmente verá toneladas de atividade ftp lá. Dê uma olhada no IP desses registros. Se todos eles são diferentes, então ele provavelmente está usando computadores zumbis e é muito improvável que você vá até ele. Se eles são todos iguais, então você pode ter um pouco mais de sorte.
De qualquer forma, isso soa como um ataque automatizado. Faça uma pesquisa para verificar se outros sites (não em seu servidor) tiveram o mesmo código injetado para eles.