Sadece index.htm / html atıldıysa serverdeki açıklardan shell sokulmuş olabilir.Ftp şifrenin kırılması küçük bi ihtimal.Eger sunucu seninse ve irc desteğide bulundurmuyosan Server güvelik bölümünde c99 ve r57 gibi shell scriptlerinin çalışmasını engelleyen bi takım kodlar var yararlanabilirsin.