Перепроверил все свои сайты. Оказалось такой же код был установлен на несколько сайтов. И все на одной площадке. Т.е. этот человек получил доступ к моему аккаунту на хостинге. Коды были добавлены в один и тот же день и в одно и то же время.
Пароли, конечно, поменял, но ведь он мог и шелл залить..
С другой стороны, хостинг ведь использую дешевый, может и "хостер" балуется..