アクセスログをすべて見直した結果、ある程度どのように不正アクセスしたのか分かりました。
まず原因は FTP アカウントのIDとパスワードが漏れ、それにより不正なファイルがアップされていました。
なぜFTPアカウントのIDとパスワードが漏れたのか？それはSSHの辞書攻撃によって解析されたのが原因でした。

ちなみにSSHの辞書攻撃についての詳細は、警視庁が公開している以下の資料が参考になります。
（てか、こんなこと警視庁やってるんですね。ちょっと見直しました）
http://www.cyberpolice.go.jp/detect/pdf/ssh_monitor.pdf

SSHの辞書攻撃が最近多いみたいなんですが、これは簡単に辞書攻撃できるツールがどっかで公開されたのが要因のようです。

SSHの辞書攻撃はある程度前から受けているのは分かってたのだが、
そのサーバーにログインできるSSHアカウントは少数で、
ほとんどのアカウントはFTPのみ可能な設定になってたため（その設定も今思えばどうかと思うが。。。）
SSHの辞書攻撃でパスワードが漏れる事はないと、放置していました。

しかし、FTPのみ可能なアカウントだったとしても、SSHで正しいIDとパスワードを入力すれば、
ログイン失敗の時とは違ったメッセージが表示されるため、パスワードが正しいかどうかを知る事が出来てしまいます。
これにより、影響がないと思ってたFTPアカウントのパスワードを辞書攻撃によって当てられて
SSHではログインできなかったのを確認後、FTPでログインを試みられ、そしてログインされました。
辞書攻撃はツールで自動的に行ってたようですが、FTPでログインからその後の行動はすべてマニュアルで行っていたと思われます。