Se la restrizione dei diritti dà risultati positivi si può certamente escludere l'accesso via FTP. Probabile qualche iniezione via script vulnerabile.
In ogni caso tale misura, per quanto sia cosa buona, è una soluzione parziale. Il tuo obiettivo dovrebbe essere la chiusura della falla.
Se hai accesso agli access log del web server potresti provare a ricercare attività strane nel periodo in cui è comparso il problema.
