Essayez de rassembler autant d'informations que possible. Voyez si l'hôte peut vous donner un journal montrant toutes les connexions FTP qui ont été établies sur votre compte. Vous pouvez les utiliser pour voir si c'était même une connexion FTP qui a été utilisée pour effectuer le changement et éventuellement obtenir une adresse IP.
Si vous utilisez un logiciel prêt à l'emploi comme Wordpress, Drupal ou tout autre logiciel que vous n'avez pas codé, il peut y avoir des vulnérabilités dans le code de téléchargement qui permettent ce type de modification. S'il est personnalisé, vérifiez tous les endroits où vous autorisez les utilisateurs à télécharger des fichiers ou à modifier des fichiers existants.
La deuxième chose serait de faire un dump du site tel quel et de tout vérifier pour d'autres modifications. Ce n'est peut-être qu'une seule modification qu'ils ont apportée, mais s'ils sont entrés via FTP, qui sait ce qu'il y a d'autre là-haut.
Remettez votre site dans un bon état connu et, si nécessaire, mettez à niveau vers la dernière version.
Il y a un niveau de rendement que vous devez également prendre en compte. Est-ce que les dégâts valent la peine d'essayer de retrouver la personne ou est-ce quelque chose où vous vivez et apprenez et utilisez des mots de passe plus forts ?