Welche Software/Protokoll nutzt du, um deine Dateien zu aktualisieren? Ich gehe mal von FTP aus.

Ich hatte mal vor Jahren einen Wurm/Trojaner/Virus, der hat die FTP-Zugänge über TotalCommander ausgelesen, und dann auf (fast) allen meinen Kundenservern die index.php verändert, etwa so, wie du es beschrieben hast. Allerdings nur auf fast allen, wie gesagt. Warum das nicht auf allen war, kann ich dir nicht sagen.

Niemals Passwörter in der Software hinterlegen. Das ist meines Erachtens grob fahrlässig.