Распространенные способы попадания спам-файлов в веб-каталог

На днях друг обнаружил кучу спам-файлов в своем веб-каталоге на своем веб-хосте. Он понятия не имеет, откуда они взялись, и я тоже не совсем уверен.

Какие наиболее распространенные нарушения безопасности могут позволить подобное случиться?

В основном я могу думать о том, что кто-то каким-то образом вычислил пароль FTP, или если есть форма, где вы можете загружать файлы, и это можно как-то использовать. В любом случае, были бы признательны за некоторые указатели на то, что искать, и способы предотвращения этого.

Они используют Surftown как веб-хостинг. Думаю, это общий веб-хостинг, и, судя по тому, что я могу прочитать, они, похоже, работают под управлением PHP 5.2. Сайт в значительной степени представляет собой HTML-код, сгенерированный DreamWeaver, поэтому на нем не установлена ​​CMS, такая как Drupal или WordPress. На данный момент я ничего не знаю, но в основном я ищу общие подсказки относительно такого рода нарушений безопасности.