Cita:
Iniciado por zerokilled 
no necesariamente se necesite acceso por ftp. pudo haber sido inyeccion de codigo si es que en los sitios recopilas datos introducido por usuarios. si estas seguro que no fue por inyeccion de parte de usuarios, tienes que determinar si fue por recursos externos que integres en el sitio. y sino, pues ni idea, ve planificando en cambiar las contraseñas.
referente a la redireccion, me refiero en el iframe que introduce el codigo. pero este iframe esta escondido con visibility:hidden.
Pense en lo de inyeccion de codigo, pero algunas de las webs eran simples paginas en html, no tienen nada ni de php, ni base de datos, ni nada, solo html.
La pass seguro que no las sacaron, de algunas de ellas es imposible.
Quiza algun bug en el propio sistema operativo, no lo se. Creo que voy a no dejar que hayan logins por FTP, y cuando necesite hacer algo los activo.