Либо вирус, либо постороннее вторжение) Требуется целый комплекс мер для защиты. Как минимум: - Выявить и удалить весь зловредный код - Сменить все пароли (от доступов FTP, SSH, от учеток админа итд) - По логам и анализу безопасности выявить способ , которым был осуществлен взлом.