FTP-аккаунт взломан, но не нанесен ущерб тайна история

Веб-сервер моего друга был взломан, но ничего не было взломано. Вот моя ежедневная история о Шерлоке Холмсе:

Хостинг-провайдер моего друга отправляет электронное письмо о том, что ему присвоены все файлы на его сервере, потому что они нашли компрометирующие записи журнала FTP. Мой друг никогда не использовал свой доступ по FTP, а вместо этого собрал свой сайт с помощью своего набора для создания внешнего интерфейса. Таким образом, мы понятия не имеем, как этот пароль FTP просочился. Теперь файлы, сгенерированные этим конструктором, являются статическими файлами HTML, но не динамическими, за исключением некоторых файлов JS, которые поддерживают включение флэш-памяти. Глядя на файлы, я не вижу ничего необычного; мы сказали хостинг-провайдеру, что они согласились, снова загрузили все файлы, сайт снова работает.

И вот журнал, который нам прислали:

ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASS (hidden)" 230 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "TYPE I" 200 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "SYST" 215 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASV" 227 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "STOR /somecontenfolder/live_tinc.js" 226 4931
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASV" 227 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "STOR /somecontenfolder/runActiveContent.js" 226 921
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder/images" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontentfolder/images/static" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder/images/dynamic" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder/colorschemes" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontentfolder/colorschemes/colorscheme1" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASV" 227 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "STOR /somecontentfoler/main.css" 226 7363

Итак, лучшее предположение, которое я придумаю, это:

Эта учетная запись FTP действительно была взломана, проб. грубой силой. Скорость, с которой выполняются команды FTP, безусловно, указывает на бота. Этот бот обходит каталоги, но ничего не делает / не повреждает - вероятно, искал файлы PHP, которых здесь нет.

У кого-нибудь здесь есть подобные / другие идеи при просмотре и чтении этого? Может быть, подобный опыт?