Potrebbe essere utile sapere l'indirizzo del dominio (opportunamente oscurato, tipo pippo.dominio.it, non cliccabile) e, comunque, in caso sia su un server dedicato, potresti controllare i log di apache/nginx per cercare strane richieste get/post, tanto per cominciare.
Se sei su un condiviso dovresti comunque poter acceere ai log ma il più delle volte te li devi scaricare prima via ftp o pannello di controllo....

Se vuoi posso darci un'occhiata più tecnica, da sistemista e sviluppatore tra l'altro proprio con CI v3, così da capire meglio se e dove sta la falla di sicurezza