prolomení hesla, pokud nebylo triviální, bych moc nevěřil. Spíše si útočník našel nějakou dírku v démonech (http, ftp, případně další, co máš vystavené do netu) a následně se dostal k funkčnímu shellu.

Je dobré, pokud máš ftp na heslo, použít účty nespojené se systémem (účty v SQL apod.), démony nechat běžet pod neprivilegovaným účtem, ideálně v chrootu.