Kommt darauf an, welche Addons bzw Änderungen am VMS vorgenommen wurden. Meistens werden ja Schwachstellen in Addons ausgenutzt, um sich Zugang zur Datenbank zu verschaffen, wo die Adminforce Daten dann im Klartext drinstehen. Das beste wäre in deinem Fall, die Accesslogs durchzuwälzen, welchen Weg der Angreifer genommen hat, woher er gekommen ist und auf welchen Dateien er unterwegs war etc.
MFG