[debian]Shell-php script in ftp folder

Ik ontdekte vandaag dat ik in mijn ftp folder van mijn server een phpshellscript heb staan wat dmv van php je een shell geeft. Dit shellscriptje stond slechts in de ftp folder alwaar het niet door een browser of iets dergelijks aangeroepen kan worden. De user waaronder de persoon toegang heeft gekregen (simpele wachtwoorden, tis een redelijke publieke ftp) tot mijn ftp server heeft ook geen ssh login. Na even het scriptje geprobeerd te hebben schrok ik toch wel ietsjes. Je kan toch redelijk mooi de hele server mee rondneuzen en ook wat normale commando's geven.

Mijn vraag is: hoe serieus is deze bedreiging. Ik zeg op het eerste gezicht is het niet echt iets waar ik me zorgen om moet maken maar misschien zie ik iets over het hoofd.

Voor de duidelijkheid: ik gebruik proftpd. Tja, maar het is een beetje voor het eerst dat ik zoiets zie. Ik schrok er gewoon een beetje van. Ik heb nog wat logs nagetrokken en gezien dat er een paar logins zijn geweest (pogingen) om via ssh in te loggen. Maar geen van mijn ftp useraccounts heeft een shell. Nu zou ik dus eigenlijk nog even de ftp map weten te scheiden van de http map. Het hele eieren eten hier is dat er wel een map public_html in de ftp map staat maar dat die niet schrijfbaar is via ftp. Was dat wel het geval dan was ik wellicht nu het bokje geweest.

*edit. Ik zie nu dat dit niet zo mooi is. Met wat simpele truuks had dit heel gemakkelijk tot een uitvoerbaar scriptje op mijn webserver kunnen wezen. Daarmee hadden ze bijv. alle documenten in alle folders kunnen lezen op mijn server. Ik zie dus nu in dat 1) er een stevig wachtwoord op moet komen (gedaan) 2) http gedeelte afgescheiden moet worden van het ftp (directory structuur dus veranderen, nog even uitvissen hoe ik dat doe).