авторКакими методами эти скрипты туда попадают ?

Способов несколько.

Наиболее распространённый - через "недокументированные возможности", или, по-простому, через "дыры" в необновляемых популярных скриптах (движка, модулей, плагинов и т.п.).

Вроде нынче поутихло, но от этого не стало менее актуальным - через стыренные пароли ФТП. Входы с чужих IP легко определяется по логам сервера. Если таковые имеются - ищите троянов на компах, откуда заходили по ФТП.

Простые пароли админок... Как ни печально, реально попадаются мегакрутые пароли вроде "123".

Ну и на сладкое, для любителей абсолютно неадминистрируемых серверов (включая ВПС) - почти свеженькая критическая уязвимость CVE-2015-0235 библиотеки glibc.