Im Grunde genommen müsstest du dir ein Prüfsummenprogramm (forensischer Scanner) schreiben, welches dir regelmäßig per cron-Job deine wichtigesten Skripte scannt und bei Veränderung dich per E-Mail alarmiert.
Aber wenn auf den Server eingebrochen wurd, dann ist es eh zu spät. Dann kann auch dieses Sicherheitsscannerskript verändert worden sein.
Skripte aus dem PHP-Bereich und PHP selbst haben öfters und auch manche Server haben Sicherheitslücken und bieten deswegen eine Einbruchsmöglichkeit.
PHP sicherer machen:
Immer aktuell bei Updates bleiben!
Und Hardened-PHP verwenden
http://www.hardened-php.net/suhosin/index.html
Regelmäßig Logfiles durchsehen nach verdächtigen Anfragen.