Shellden ziyade scriptinizde bir sql injection açığı var mı diye kontrol edin. Shell mysql işlemlerinden ziyade dosya işlemleri için kullanışlıdır. Çünkü mysql parolanızı bilmeden shell ile bile database e giremezler. Shelle config dosyanızı okuyabiliyorlarsa mysql dan fazla da zarar verebilirlerdi database ile uğraşmazlardı.
Muhtemelen scriptinizde bir sql injection açığı vardır. Oradan database e sorgu göndermeyi denemişler. Kategori, haber gibi bilindik tablo isimlerini deneyip ayarlar haber tablosunu tutturup güncelleyip silebilmişler.