Как злоумышленник может изменять данные в ISPManager извне?

Добрый день, проблема следующая:
Неким образом вчера злоумышленники получили доступ к панели управления ISPManager.
Следствием чего в планировщике cron появилась запись /var/tmp/NTEbHhe >/dev/null 2>&1
которая выполняется каждые 15 минут, а также, удалены все записи из "Ограничение доступа"

Парадокс в следующем: записи в ограничении доступа, я добавлял 16.04.15, на хостинге посмотрели логи, а в логах нет удаления записей и добавление cron задач, т.е. по логике изменения были внесены не из ISP. Как это возможно?
И все-таки что бы могла значить добавленная запись в cron? Директории tmp/NTEbHhe находятся вне моего аккаунта, и права у меня не root.