Hallo!

Ich habe schon einige solcher Attacken bei Kunden beobachtet... einer hatte etwa einen Testaccount mit Nutzername und Passwort test angelegt, ein anderer verwendete ungeprüft eval() in seinen Scripten, wieder ein anderer hatte seine MySQL-Zugangsdaten lesbar in der Seite stehen, noch ein anderer benutzte ftp statt sftp, noch ein anderer hatte seinen Mailserver nicht ausreichend gesichert... die Liste läßt sich fortsetzen.

Grundsätzlich, sobald Du weißt, dass Dein System kompromittiert wurde: alle Nutzer, die unbekannt sind, aus dem System schmeißen, alle Passwörter ändern und die Log-Dateien sichern. Danach erst mal das System in Ruhe auf Veränderungen durchsehen: insbesondere die laufenden Dienste checken.

Gruß, LX