Обычно одно из трёх:
[list=1]
Украли пароль от FTP у одного из админов (обычно через троян в каком-нибудь Total Commander'е) и записали свой код в скрипты.
Украли пароль от админки к сайту (различными способами, от соц. инженерии до XSS) и добавили свой код в меню. Китайцы и турки особенно любят этот момент.
Взломали сайт через дырявый плагин и залили свой контент.
Чтобы понять, что случилось, необходимо проанализировать, в каком месте вывода (HTML-код генерируемых страничек) находится вредоносный скрипт. Соответственно, он либо выводится каким-то тэгом (вроде {PHP.cfg.menu1}), либо прописан в шаблоне, либо выдается самим скриптом.
May the Source be with you!
