und könnte das wieder passieren?

Kann da tatsächlich nur der Kunde (oder sonstwer) mit dem Passwort unvorsichtig umgegangen sein oder kann es vielleicht doch sein, dass 1&1 die undichte Stelle ist, bei denen sich irgendwelche Bots Zugang zum Kundenwebspace verschaffen können.

Da reichen schon schlechtgewählte Passworte. Ich kann mich noch gut daran erinnern, mein erster V-Server lag 8 Wochen lang brach ohne etwas installiert oder betrieben zu haben, aber jede Menge Traffic. Ein Blick in die Logdateien zeigte, da hat jemand in Intervallen die immer zwischen 45 Minuten und 3 Stunden dauerten, mehrmals täglich seine Wörterbuchdateien ausprobiert. Wahrscheinlich Skriptkiddies, als normales Grundrauschen. Nur den Port 22 umgelegt und schon war ruhe. http://de.wikipedia.org/wiki/Skriptkiddie

Hier mal etwas aus dem richtigen Leben:
http://www.youtube.com/watch?v=2bu_T8vUs4I

Mein Tipp System platt machen und jemand der Ahnung hat beauftragen, das System neu aufsetzen.