Benim tahminim 2 yönde diyebilirim. Diğer arkadaşın dediği gibi redirect olarak XSS açığından faydalanarak siteye yönlendirme atmış olabilirler. Ya da siteye bir şekilde erişebilen kişi cloacker olarak kullanıyordur sanırım.