Miféle ftp progit használsz? Ott sok a sérülékenység. Nem feltétlenül ott jöttek be, de nagy az esélye. Érdemes kézzel végignézni a /proc ban futó dolgokat, ha kell pid-enként. Fél óra kézzel végigszaladni.
A hiba jellege joomla-ra utal. Akkor viszont nem sok mindent fogsz találni. Script kiddie-k kedvenc játékszere... pl a Törökök naddon szeretik.
A /dev alatt is lehet pl új könyvtár szerkezet, és oda is be lehet bújni.
kieg:
Rákerestem. Ugyan nézd már meg, mit is ír ki a feltört site? Ui olyanokat is találtam, amik el is mondják, h mi volt a sebezhetőség. pl SQL-injection