Exactamante, tenemos en el mismo servidor el FTP y la web. Una empresa se encarga del diseño y la otra se encarga del hosting y del FTP.
Cuando vi que la página tenía "bichos" pensé que habían hackeado el "login" del administrador web y tan solo habían subido los archivos a la web (en aquel momento desconocía totalmente como funcionaba la web, yo solo sabía que hace X años la habían contratado y que 2 veces al año la actualizaban). Por primera vez me puse en contacto con la empresa que se encarga de la web y me dijeron que la web estaba hecha en joomla con una de las primeras versiones que sacaron. Buscando por internet encontré que evidentemente tenía un montón de fallos de seguridad. Todas la miradas las centramos en la web y a partir de ahí ellos se ocuparon del tema y les dí el número de la empresa del hosting para que solucionaran el tema. Nosotros ni pensamos en el FTP... eso fue un viernes.

El lunes me llegó un correo de la empresa diseñadora diciendo que habían hablado con la empresa del hosting y que habían sido atacados el dia 4 y que era por culpa de la contraseña del FTP. A partir de ahí descarté la opción de la web, y aquí es cuando entraron todas mis dudas... Como podía ser que después de 2 semanas no se hubieran enterado? No existen avisos, logs?, etc...

La verdad, ignoraba completamente que de la web pudieras sacar la contraseña del FTP, "mea culpa" por no haberlo dicho en el primer post, mañana indagaré sobre el tema.

Ahora mismo lo que estoy esperando son los logs del servidor, y supongo que cuando los vea se resolveran la mitad de las lagunas que hay. Seguro que mañana me daran la mitad de la información que les he pedido y tendré que volver a llamar para pedir la otra mitad y esperar otro día más... pero bueno, me conformo en que mañana tenga el log del FTP.

He aprendido más estos 2 últimos días que en toda mi vida  Gracias!