Hiába korlátozok ftp-t, vagy jelszó policyt. Elég ha valamelyik user felrak egy Joomlát. Kijön az exploit és már fel is törték az oldalt.
És magával a joomla segítségével felrakták amit akartak.
Különben a logokban nem találtam semmit ami arra utalna, hogy valaki bruteforce-olt volna bármit a szerveren. Én azt is el tudom képzelni hogy a user gépére felment valami trójai és megszerezte a jelszavait és úgy jutott be a szerverre.
Szóval a hangsúlyt jelen esetben arra kell fektetni ha már bent van akkor időben észrevenni!