Loglar'dan bakmalısın. cpanel Raw access logs < buradan.

ve nereden girdiğini yada ne kullandığını exploit vb bulabilirsin.