esistono vari modi..
Il più semplice è che ti abbiano rubato la password di accesso FTP. Se hai avuto accesso via FTP al sito usando un pc infetto, è facile che la password ti sia stata sottratta. Sincerati di usare un sistema pulito e cambia la password. Conoscendo data e ora della modifica ed avendo a disposizione i log del server FTP si può avere una conferma dell'eventuale accesso.

Altri metodi dipendono dalla sicurezza della pagine da te create, dalla sicurezza del server ed eventuali estensioni abilitate.

Se ci sono script di upload vulnerabili potrebbero aver usato quel veicolo. Inclusione di script remoto, può esserne un altro... difficile fare una diagnosi alla cieca.