Ich bin mir gerade nicht sicher ob das CMS ohne Passwort aufgerufen werden konnte.

Das solltest Du Dir aber sein.
Welches CMS übrigens. Vielleicht hat der die Angreifbarkeit längst erkannt und ein Update bereit gestellt?

Ich befürchte der Server muss eventuell neu installiert werden - Es gab neulich z.B. auch einen Bug in einigen Linux Kernels, da konnte ein gewöhnlicher Benutzer sogar leicht Root-Rechte erhalten:

http://www.heise.de/security/meldung/Linux-Root-Rechte-durch-Speicherzugriff-1419608.html

Wenn derlei geschehen ist, dann ist auf dem Server nichts mehr sicher.

Du solltest sicherheitshalber den Support Deines Hosters informieren.

Fred