возможно все. :( косяки на сайте могут быть лишь внешним проявлением действий злоумышленника, а о средствах и методах взлома можно лишь догадываться. и вариантов туча, к примеру:
- взлом операционной системы через непропатченные службы,
- вход/взлом сквозь неверно сконфигурированные штатные службы ОС,
- все то же с любыми приложениями - *sql, apache, squid, пр.,
- неверно предоставленные пользователям права,
- собственные кривые скрипты, позволяющие "вдуть" на сайт свои "произведения",
- понятно, использование одинаковых паролей, либо простых, либо перехваченных (той же заразой),
- и еще много прочих возможностей.
зачем что-то портить? сайты ломают для получения выгоды, к примеру, засадив эффективного трояна, можно построить хорошую бот-сеть для рассылки того же спама или для коммерческих бомбежек чьих-то конкурентов.
и не факт, кто виновник проникновения - админ хоста или админ сайта.
так что тщательнее надо подходить в сайтостроительству, сайтописательству, хостингу и админстрированию, а если речь идет о серьезных коммерческих проектах, требования к уровню защищенности надо закладывать на стадии написания технического задания.
а друг твой не первая жертва и далеко не последняя.
успехов!
