Доступ по SSh включается злоумышленником без моего ведома

Проблема уже на втором аккаунте  Timeweb.

На обоих - одинаковые проблемы, которые были решены.

Признаки:

1. Через уязвимость какой-то cmc заливаются скрипты на один из сайтов, но не используются.
2. Через какое-то время похожие скрипты появляются во всех других сайтах. Добавляются новые, модифицируются index.php и другие типовые файлы сайтов.
3. Хостер блочит отправку почты, так как скриптами рассылается спам. 
4. Включается доступ по SSH.

Все эти признаки в точности повторились на двух аккаунтах Timeweb, с которыми я работал.

Смена паролей админки не помогала в первом случае, насколько я помню. Пароль в ПУ был поменян, но после SSH все равно был включен не мной.

Вопросы к сообществу:

1. Как зараженные файлы появляются в уязвимой СМС мне понятно, но как они попадают во все другие сайты? Появляются php-скрипты в корне директории сайтов? По идее, сюда доступ может быть только через вебфтп или фтп, я правильно понимаю?
2. Как злоумышленники включают SSH?

Может быть, имеет место уязвимость нашего хостера?