FTP アカウント権限だけであれば、ファイルのアップロード・ダウンロードくらいしかできませんが、
アップされたファイルの中で PHP Shell という *.php ファイルがあり、
そのスクリプトの中身を見ると、どうも PHP 経由でシェルコマンドを叩けるような物のようでした（怖いので実際に実行させていません）

つまりこれにより http 経由でシェルコマンドが叩けるようになり、
apache 権限で何かしらのコマンドが叩けるような状態になっていました。

FTPのログによると、アップされたファイルは上記のPHP Shellファイルと*.tgzファイルだけだったので、
ファイルアップロード後は、PHP Shellを使ってファイルの展開等を行ってたんだと思われます。

http 経由で PHP Shell をたたき、postメソッドによってコマンドを送信すれば、
apacheのログにコマンド履歴が残りません（少なくとも僕のサーバーでは）。
賢いもんです。

ただgetメソッドによってコマンド送信している部分もあるようで、それを見てみると uname -a というのを実行してたのが分かりました。多分 OS を確認してたんでしょう。

これらの手順を見て思ったのは、アクセス者はかなり手慣れてるようです。
多分他にも何人か被害者がいて、同じようにしてフィッシング詐欺がなんかに使われたのでしょう。

今後同じような被害に合わないためにはどうすればいいか。その対策についてはまた別途書く事にします。