Hi,

Können diese dann wie sie wollen, Dateien uploaden und Scripte auf dem Server ausführen?

Ein Server ist ein Server ist ein Server. Er ermöglicht bestimmte Zugriffsmethoden. Weitere kannst Du implementieren, etwa einen Upload; hier beispielsweise können Sicherheitslücken enttehen. Benutzerrechte haben dabei so ziemlich überhaupt keine Bedeutung - wenn es funktionieren soll, muss der _Server_ die Rechte haben, und das gilt für _jeden_ Benutzer.

Falsch!

Richtig konfigurierte Webserver lassen alle Skripten *NUR*
unter der jeweiligen Kennung des jeweiligen Benutzers laufen!
Ausnahme sind da nur ....*censored*.... PHP-Skripten, die
die notwendige Servertechnik nicht unterstützen.

Bei solchen Servern braucht man sich auch nicht weiter um die
Dateirechte zu kümmern. Es reicht wenn die Dateien lesbar sind und die Skripten ausfuehrbar.
Das Skript hat dann die selben Rechte wie der eigene User.
das heisst. Wenn man ein Sicherheitsloch hat, dann trifft es "nur" einen selbst, nicht aber ggf. noch andere User (sieht man von Serverlast ab).

Was konnte in deinen fall nun passiert sein?

2 Moeglichkeiten:

1. Ein andere Benutzer auf dem Webserver hat gesehen, dass du
jedermann durch chmod 777 alle Rechte gegeben hast.
Und da du so freimuetig warst, hat er das dann genutzt.
Und dies war dann noch nichtmal strafbar! Denn schliesslich hast
du allen Benutzern die Erlaubnis dazu gegeben, indem du selbst
allen Benutzern das Recht gabst.

2. Jemand ausserhalb des Servers war das.
Dieser Jemand wird nur dann da Dateien hochladen koennen, wenn es ein Skript von dir gab, welches es erlaubt,
   Dateien ungeprueft hochzuladen (Billige upload-Skripten z.B.)
  oder Kommandos auszufuehren.

In beiden Faellen hast du dann irgendwelche Skripten von irgendeiner Skriptarchiv-Seite gezogen, die nichts taugten, d.h. unsicher waren.
Hier solltest du halt mal schauen: Was hast du an Skripten und was machen die. Und pruefen die die Eingabe?

Im Zweifel hier gegen den Angeklagten. Und loeschen.

Was du weiterhin beachtensolltest: Da jemand schon bei dir was hochladen konnte, ist es moeglich, dass auch deine Zugangsdaten ausgespaeht wurden: Wer schon ein Skript hochladen kann, der kann bestimmt auch ein Batch-Skript in deiner Userumgebung laden, welches alle deine Eingaben protokolliert und etwaige Verbindungsdaten aufzeichnet/weiterschickt.
Aber ich vermute es nicht.
Ein echter Hacker haette genau das gemacht (wenn er keine Lust gehabt haette, weiter auf dem System rumzulurken) und er haette sich nicht durch irgendein Skript verraten dass du findest.
(Ein Cracker haette auch ein anderes Skript, naemlich eine Variante von formmail installiert; Dann waere es dir aufgefallen, wenn du auf einmal von deinem Provider die kündigung kriegst, weil von dir SAM gesendet wird.)

Wie auch immer. Es war wohl die harmlose Sorte, die bei dir rumgespielt hat.

Auf alle solltest du daher noch dein Passwort aendern (lassen).
Und deine gesamten HTML-Dateien noch ungewoehnlichen Inhalten im SourceCode absuchen.

Viel Spass beim Aufraeumen.

Ciao,
  Wolfgang