Pengalaman saya dulu-dulunya, juga pernah mengalami hal ini. bisa jadi melalui akun cPanel yang tersambung dengan WHMCS atau sejenisnya ? Sebab bisa jadi di ambil lewat database di whmcs Tuan. sebab biasanya whmcs kena, konek ke WHM, dan juga spyware di komputer jadi merekam keystroke (keylogger). Atau Bisa jadi kemungkinan, setelah pertama kali berhasil login sudah tertanam shell backdoor, atau mungkin aja server hostingnya bisa di symlink/jumping dari akun hosting lain yang memiliki celah keamanan website, dan script website itu satu server dengan akun hosting tersebut, bisa juga script website yang di gunakan yang malah ada backdoor nya.