＞webベースで管理する仮想化ソフトのコンソール（？）が外（Internet）に繋がって
これは、恐らくそんな感じだったんじゃないですかね？
Takahacircus氏のコメントにあるように、
類似のサイトも、世間には割と存在するのかも知れません。

セキュリティ的にどうよ？　といえば、
確かにヤバゲかもしんないけど、それはそれでアリじゃないっすか？
サーバ設置した現場と、サイトと専用回線張った端末だけでしか触れない
ていうのは、セキュアっちゃあセキュアだけど、やっぱ不便だしょ。

それに、運用がしっかりしていれば、ある程度のセキュリティは
担保できるんじゃないでしょうかね？
「しっかりした運用」なんてモノが、ほいほい実現できるなら、
この世にウェブ上のトラブルなんて、存在しないはずだけど。

アタックの実際は、私にはトンと分からないです。
「ゆるいパスワード使ってたんだろ」みたいなツッコミもあったぽいけど、
vaservは「違うよ、全然違うよ [theregister.co.uk]」って言ってるみたいです。
いや、ま、本当に違うのかどうかは分かんないけど。

ちょっと興味深いのは、registerに「"rm -rf"が発行できる程の権限を奪われた」
みたいな記述があるので、運用中のサイトで、本当に "rm -rf" をぶちかました
稀有な実例だったのかもしれません。