Начнем с того, что "огромные" списки получают разными способами. Чаще всего - это получение рута в системе. Бывает правда, что попадаются неграмотные сисадмины, которые не знакомы с chmod, тогда появляется шанс стянуть что либо из учетки непривелигированного пользователя. Чаще всего мне приходилось видеть невыставленные правильно права на логи фтп демона, что является немалой брешью в системе. На примере proftpd можно узнать путь к домашему каталогу практически любого пользователя. Я имею ввиду путь вида home/user/site/public_html, который наверняка будет доступен тебе на чтение. Далее можно выделить менее известные способы, например эксплутация фтп демона или тот же брутфорс. Чаще всего брутят не конкретно фтп аккаунты, а именно юникс дедики, что делают далее, думаю понятно.