Když já tomu nerozumím tak, abych mohl něco fundovaně vyložit.
Tedy jen popis: v každém PHP souboru vždy za tagem <?php byl umístěný kód, který začínal eval(base64_decode a za ním následoval dlouhý řetězec znaků. Nevím, jak se tam dostal, ale vzhledem k tomu, že napadeny byly pouze soubory, které měly atributy povolen i zápis (Chmod 755 a vyšší) řekl bych, že obrana je jasná - důsledně nastavit atributy k souborům a složkám.
Admin už si to bude pamatovat.