Сломали сайт явно через дыры. При наличии дыр на сайте легче использовать их, чем пытаться украсть логин и пароль к ftp у админа и атаковать сайт через доступ по фтп. А уязвимостей в нюках всегда хватало, о чём я не раз писал в новостях, в том числе сам находил уязвимости в PHP-Nuke и различных его клонах.

Следы атаки в логах веб сервера навернека есть, нужно лишь более тщательно их поискать . Так что нужно всегда следить за безопасностью своего сайта, в том числе и при использовании нюков.