Hocam siten wordpress veya joomla ise bir eklenti açığından giriyorlardır. Sitende upload eklentisi varsa kaldır. Siteni güvene aldıysan eğer sunucudan da girebilirler. Yani seninle aynı sunucuda bulunan sitelerden birine telnet atmışlardır. Oradan da sizin siteye sızıyor olabilir.