Ich danke euch allen für die Antworten!

Einige von den Tipps werde ich mir noch einmal etwas genauer anschauen.

Ich bin mir inzwischen zu 99% sicher, dass meine Vermutung zutreffend ist: Ich habe bei den beiden betroffenen Seiten sämtliche Zugänge gewechselt, diesen bei einer weiteren, noch nicht betroffenen aber belassen, sie dafür regelmässig gecheckt. Und siehe da, ich musst nur bis gestern warten: Die index.* Files wurden alle verändert - über den FTP Zugang.
Was dürfte passiert sein? Ich hatte mir vor gut 2 oder 3 Wochen nach langem wieder mal einen Virus eingefangen auf meinem Homecomputer. Entfernt war dieser ziemlich schnell und ich habe mir auch nicht mehr weiter viel dabei gedacht. Was mir nicht klar war: In der Standardeinstellung von Filezilla werden im Verlauf die Passwörter vergangener Logins nicht einfach nur gespeichert, die Logindaten stehen sogar in Plaintext in einem XML-File im Appdata-Ordner.. Liegen also auf dem Präsentierteller für eine automatisierte Suche. Man kann es Hackern auch einfach machen...

Fazit: Das "Passwörter nicht speichern"-Kästchen in Filezilla ist bestimmt keine schlechte Idee...

Gruss