Ja, sowas hatte ich auch mal.

War ein von mir handgeschriebenes CMS, was auch nur bei dem Kunden eingesetzt wurde.
Einige Dateien wurden mit einem Script-Code infiziert, der den Besucher dann auf eine andere Seite gelockt, bzw dort was nachgeladen hatte.

Habe dann auch einige PW geändert und die Seite war dann ca. 3 Monate später wieder Opfer eines Hacks.
Die Angreifer kommen meistens über infizierte Rechner an das FTP-Kennwort und haben dann Zugriff auf die Dateien.

Viele Grüße

Martin