juanolo: el problema no es de arsys, 1&1, ni tampoco de Wordpress o Joomla. Yo no tengo nada de eso y sin embargo pasó. El problema es que de alguna manera nos hicieron pishing (robo de contraseñas). Y no creo posible saber cómo lo hicieron ni cuando (me refiero a cuando consiguieron las passwords).

Por ahora con cambiar la clave del FTP todo va bien. No hubo reinfeccion. Por otro lado, me acabo de enterar de que a SourceForce lo atacaron (pero no con esto sino con intento de robo de contraseñas en base de datos): http://sourceforge.net/blog/sourceforge-net-attack/
Es decir, le puede pasar a todo el mundo!