mas daquilo que eu penso que fizeram é o seguinte:
bruteforce nas passes, depois de terem a passe do cpanel tem acesso a todos os ficheiros do site, ou seja basicamente o que fazem é criar um mail gmail registar esse mail no webmastertools, chegam ao webmastertools e adicionam o site, pegam no código que o webmastertools dá e colocam no site e apagam o vosso código, ou seja a partir dai o webmastertools associa o site a esse mail, depois é só "brincar" com as ferramentas do webmastertools.....
formas de evitar isso:
- usar passes seguras (ex:hjgj%jadsa$sd@25as&as), não usar a mesma passe no cpanel e no site. Uma passe do tipo joao20 em bruteforce pode levar segundos ou minutos a ser descoberta, enquanto a que dei como exemplo pode levar semanas.
Para evitar bruteforce no site é só usar um pluging que bloqueie um Ip por determinado tempo ao fim de varias tentativas erradas..
em wordpress:
- Login LockDown - bloqueia o ip ao fim de varias tentativas falhadas
- SI CAPTCHA Anti-Spam - coloca um código de segurança (activar nas opções da admin o código no login da admin)
não usar os dois, optar por um, ficam com uma falha que não vou aqui revelar
isto é se o ataque foi por descoberta de pass