dies finde ich in den logs angehängt an eine PHP Datei:

a _ o r ...... ftp 0 * c

...... = Kundennummer beim hoster.

Das einzigste was ich bis jetzt weis ist das da wohl irgendwie so Zugriff mit FTP möglich war. Aber ich habe keine Ahnung wo nun die Sicherheitslücke ist.