Se você estiver em um sistema de cpanel de ações, há três ou quatro vetores possíveis que eu verificaria e tentaria excluir:
1) O hacker tem sua senha de ftp e usou isso para carregar os arquivos modificados. Se isso acontecesse, seu host deveria ter logs para mostrar isso e o endereço IP remoto usado para fazer isso. Se o seu host não puder mostrar isso, eu encontraria um novo host.
2) Eles modificaram seu site por meio de uma interface diferente (SCP, WebDAV)? Novamente, seu host deve poder mostrar alguns logs.
3) Existem scripts que permitiram o acesso a arquivos? Seu host deve ser capaz de apontar para logs mostrando isso.
4) Há alguns escalonamentos de privilégios ou ataques de conta de revendedor no cPanel. Os links simbólicos podem ser seguidos, os bugs do WebDAV e outros ataques podem ter permitido que o hacker explore outra conta e, em seguida, carregue conteúdo para o seu site.
Em todos esses casos, seu host deve orientá-lo sobre isso.