Seite mal angeguckt, kann man im Server-Controlpanel das (Root)Passwort nachlesen/ändern? Wenn ja ändere mal dort Passwörter. Und dann auf dem V-server.
Vllt. durch einen Zufall geknackt.
Falls sie sich dort einloggen werden die Ip´s geloggt, sonst mal was in lezter Zeit von besagter Person gedwonloadet, Virenscan hilft.
Mfg Pillow
