19
Webseite mit Trojaner befallen
Hallo zusammen,
inzwischen ist zum zweiten Mal meine Webseite mit einem Trojaner befallen (Trojan.JS.Redirector.xb). Weder google noch der Link von Kaspersky (siehe Screenshot) bringt mich irgendwie weiter (toter Link)
Beim ersten Mal vor paar Wochen hat nur eine Neuinstallation der Webseite geholfen. Allerdings ist diese nun wieder infiziert.
Ich habe versucht die die index.php zu identifizieren um den code zu finden. Aber weder hier noch in weitern includes habe ich etwas finden können.
Die Webseite basiert auf dem aktuellsten Joomla. Seltsamerweise kann ich die Adminoberfläche (/administrator) problemlos aufrufen. Ich bekomme die Meldung nur, wenn ich das rootverzeichniss öffnen möchte.
Ich würde mich sehr freuen wenn mir jemand mit mehr Ahnung als ich folgende Fragen beantworten kann:
1. Wie kann sich ein Trojaner eigenständig in einen Webseitencode schreiben bzw woher kann dieser kommen?
2. Wie kann ich diesen Trojaner ausfindig machen?
3. Wie kann ich sicherstellen, dass dies nicht ein drittes Mal passiert? Nach der letzten Neuinstallation habe ich die Passwörter geändert.
Vielen Dank für eure Hilfe.
inzwischen ist zum zweiten Mal meine Webseite mit einem Trojaner befallen (Trojan.JS.Redirector.xb). Weder google noch der Link von Kaspersky (siehe Screenshot) bringt mich irgendwie weiter (toter Link)
Beim ersten Mal vor paar Wochen hat nur eine Neuinstallation der Webseite geholfen. Allerdings ist diese nun wieder infiziert.
Ich habe versucht die die index.php zu identifizieren um den code zu finden. Aber weder hier noch in weitern includes habe ich etwas finden können.
Die Webseite basiert auf dem aktuellsten Joomla. Seltsamerweise kann ich die Adminoberfläche (/administrator) problemlos aufrufen. Ich bekomme die Meldung nur, wenn ich das rootverzeichniss öffnen möchte.
Ich würde mich sehr freuen wenn mir jemand mit mehr Ahnung als ich folgende Fragen beantworten kann:
1. Wie kann sich ein Trojaner eigenständig in einen Webseitencode schreiben bzw woher kann dieser kommen?
2. Wie kann ich diesen Trojaner ausfindig machen?
3. Wie kann ich sicherstellen, dass dies nicht ein drittes Mal passiert? Nach der letzten Neuinstallation habe ich die Passwörter geändert.
Vielen Dank für eure Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201199
Url: https://administrator.de/contentid/201199
Printed on: April 19, 2024 at 20:04 o'clock
19 Comments
Latest comment
Moin,
gibt es die Meldung auch beim Öffnen mit dem IE?
Gruß
gibt es die Meldung auch beim Öffnen mit dem IE?
Gruß
1. Schritt wäre zu schauen, wo das Sicherheitsleck herrührt - ein Modul o.ä das unbedingt benötigt wird? Oder ist es dein PC (kein virenschutz?)
2. Wäre dann die Site down zu nehmen, die Files isoliert herunterzuladen und dann gegenzuchecken (sollte lokal dann gehen).
Parallel dazu den Hoster fragen, ob es eine Möglichkeit auf seiner Seite gibt die Site gegenzuchecken. Solange es nicht 1&1 ist sollte der auch bemüht sein, das "sein" webspace clean ist.
3. Wirst du wohl um eine Neuinstallation nicht herumkommen wenn sich der Trojaner "fachmännisch korrekt" eingebettet hat (tägliches nachladen des programmcodes o.ä)
4. Nächstes mal Plugins und Passwörter davor gegenchecken.
2. Wäre dann die Site down zu nehmen, die Files isoliert herunterzuladen und dann gegenzuchecken (sollte lokal dann gehen).
Parallel dazu den Hoster fragen, ob es eine Möglichkeit auf seiner Seite gibt die Site gegenzuchecken. Solange es nicht 1&1 ist sollte der auch bemüht sein, das "sein" webspace clean ist.
3. Wirst du wohl um eine Neuinstallation nicht herumkommen wenn sich der Trojaner "fachmännisch korrekt" eingebettet hat (tägliches nachladen des programmcodes o.ä)
4. Nächstes mal Plugins und Passwörter davor gegenchecken.
Hi Certifiedit,
wenn er keinen Schutz hätte würde er ja keinen Screenshot zeigen können, wo Kaspersky den Zugriff sperrt.
Ich denke dem Trojanertyp nach zu urteilen liegt der Haase woanders begraben, aber mal sehen.
Zu 3. da hat sich nichts bei ihm eingenistet, weil Kaspersky den Aufruf verhindert hat.
Gruß
wenn er keinen Schutz hätte würde er ja keinen Screenshot zeigen können, wo Kaspersky den Zugriff sperrt.
Ich denke dem Trojanertyp nach zu urteilen liegt der Haase woanders begraben, aber mal sehen.
Zu 3. da hat sich nichts bei ihm eingenistet, weil Kaspersky den Aufruf verhindert hat.
Gruß
Hi Xaero1982,
sicher hat er jetzt einen Schutz - aber ich nehme an, dass Kaspersky keine lebenslange Testversionen ausgibt. Daher eben die Frage: Seit wann hat er denn Schutz...[...]. Damit ist dieses Einfallstor zumindestens Anzudenken.
3. Ich meinte nicht auf dem PC, sondern, wie er es beschrieb im o-ton: "er kam auch vor 3 Wochen nicht um eine Neuinstallation herum". Deshalb: Website, hatte ich zwar bisher noch nie, aber die Möglichkeit des Automatischen Nachladens besteht bei gängigen CMS wohl laut einer Kurzrecherche.
Gruß
sicher hat er jetzt einen Schutz - aber ich nehme an, dass Kaspersky keine lebenslange Testversionen ausgibt. Daher eben die Frage: Seit wann hat er denn Schutz...[...]. Damit ist dieses Einfallstor zumindestens Anzudenken.
3. Ich meinte nicht auf dem PC, sondern, wie er es beschrieb im o-ton: "er kam auch vor 3 Wochen nicht um eine Neuinstallation herum". Deshalb: Website, hatte ich zwar bisher noch nie, aber die Möglichkeit des Automatischen Nachladens besteht bei gängigen CMS wohl laut einer Kurzrecherche.
Gruß
Hallo
Ich würde das Ganze auch noch mit einem anderen AV gegenchecken. Kaspersky bringt auch gerne mal einen False Positive Alarm. Auf jeden Fall sollte dann aber keine Testversion genutzt werden. KIS 2013 kostet ne Einzellizenz kein Vermögen. Und wer am Schutz spart, braucht sich nicht über Befall wundern.
LG
Ich würde das Ganze auch noch mit einem anderen AV gegenchecken. Kaspersky bringt auch gerne mal einen False Positive Alarm. Auf jeden Fall sollte dann aber keine Testversion genutzt werden. KIS 2013 kostet ne Einzellizenz kein Vermögen. Und wer am Schutz spart, braucht sich nicht über Befall wundern.
LG
Hi Fidel,
ob nun Testversion oder nicht. Wenn diese nicht abgelaufen ist, hat sie die gleichen Updaterechte und Settings wie die gekaufte. Spielt hier letztlich keine Rolle.
@certified,
naja eine Neuinstallation muss nicht immer ein Muss sein, wenn man wie hier nicht wirklich klar ersehen kann woher das kommt. Erste Recherchen zu diesem Trojaner ergaben da was anderes, daher auch meine Frage was der IE sagt
Aber warten wir es ab ...
Gruß
ob nun Testversion oder nicht. Wenn diese nicht abgelaufen ist, hat sie die gleichen Updaterechte und Settings wie die gekaufte. Spielt hier letztlich keine Rolle.
@certified,
naja eine Neuinstallation muss nicht immer ein Muss sein, wenn man wie hier nicht wirklich klar ersehen kann woher das kommt. Erste Recherchen zu diesem Trojaner ergaben da was anderes, daher auch meine Frage was der IE sagt
Aber warten wir es ab ...Gruß
Mir ging es eher um die Zeit vor der Installation.
Und wegen der Neuinstallation: es schien ja so, als wäre die Diagose bereits einmal so verlaufen, diesmal sollte man nun allerdings gegenchecken, woher und wie es dazu kam, bevor man Tabula Rasa macht. Bei einer Auswertung dessen kann man dann auch entscheiden, ob sich eine Reparatur lohnt - kommt natürlich auch auf die Daten an, dazu wären mehr Infos (Domain etc) sinnvoll.
http://onlinelinkscan.com/ Dazu folgender Link
Und wegen der Neuinstallation: es schien ja so, als wäre die Diagose bereits einmal so verlaufen, diesmal sollte man nun allerdings gegenchecken, woher und wie es dazu kam, bevor man Tabula Rasa macht. Bei einer Auswertung dessen kann man dann auch entscheiden, ob sich eine Reparatur lohnt - kommt natürlich auch auf die Daten an, dazu wären mehr Infos (Domain etc) sinnvoll.
http://onlinelinkscan.com/ Dazu folgender Link
hallo,
Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.
Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw. http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)
und mich dann noch eingehend mit
Joomla Security bzw. How to prevent your website from getting hacked
beschäftigt.
Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank
)
mit freundlichen Grüßen,
drnatur
Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.
Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw. http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)
und mich dann noch eingehend mit
Joomla Security bzw. How to prevent your website from getting hacked
beschäftigt.
Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank
)mit freundlichen Grüßen,
drnatur
Moin,
und ganz wichtig:
Von einem sicheren (am besten per Linux Live CD) PC aus, alle Zugangspasswörter zum Webspace ändern. Kundenlogin, FTP Login, SSH Password, DB Password und alle Passöwrter "innerhalb" von Joomla.
lg,
Slainte
und ganz wichtig:
Von einem sicheren (am besten per Linux Live CD) PC aus, alle Zugangspasswörter zum Webspace ändern. Kundenlogin, FTP Login, SSH Password, DB Password und alle Passöwrter "innerhalb" von Joomla.
lg,
Slainte
Hi,
die Linux LiveCD bringt ihm herzlich wenig wenn er, wie üblich dann mit einem (evtl) verwanzten PC und der gleichen Passwordbreite wieder darauf zugreift.
die Linux LiveCD bringt ihm herzlich wenig wenn er, wie üblich dann mit einem (evtl) verwanzten PC und der gleichen Passwordbreite wieder darauf zugreift.
Ich habe es mit einem anderen PC aus einem anderen Netzwerk getestet. Hier blockt Avira Antivir mit einer vergleichbaren Meldung. Beim IE das Selbe (Es ist ja nicht der Browser der blockt, sondern das Antivir prog).
@certifiedit
Onlinelinkscan ergab keine Hinweise
@drnatur
Sucuri hat allerdings etwas gefunden:
Durchaus interessant und ein guter Punkt bei der Fehlersuche anzusetzen.
An alle anderen:
Vielen Dank für eure Hilfe (auch die Idee mit der LiveCD war wertvoll). Vermutlich ist tatsächlich ein Client Rechner befallen. Wobei auch dieser Kaspersky installiert hat (und recht neu aufgesetzt ist). An den Joomla Plugins und Modulen wurde eigentlich ewig nichts mehr geändert. Möglicherweise wurden diese aber aktualisiert.
Ich werde nun versuchen den Trojaner manuell zu entfernen und halte euch auf dem laufenden
@certifiedit
Onlinelinkscan ergab keine Hinweise
@drnatur
Sucuri hat allerdings etwas gefunden:
An alle anderen:
Vielen Dank für eure Hilfe (auch die Idee mit der LiveCD war wertvoll). Vermutlich ist tatsächlich ein Client Rechner befallen. Wobei auch dieser Kaspersky installiert hat (und recht neu aufgesetzt ist). An den Joomla Plugins und Modulen wurde eigentlich ewig nichts mehr geändert. Möglicherweise wurden diese aber aktualisiert.
Ich werde nun versuchen den Trojaner manuell zu entfernen und halte euch auf dem laufenden
Ok, Pardon, wurde, wie gesagt mit diesem Szenario bisher noch nicht konfrontiert.
Probiere mal alternative [Online] Virenscanner aus (bspw: Trend Micro Housecall ovgl, gerne auch mehrere) um deine Clients definitiv Virenfrei zu sichten.
Zu deinen Fragen
1. Wie kann sich ein Trojaner eigenständig in einen Webseitencode schreiben bzw woher kann dieser kommen?
WIe bereits gesagt kann das an verseuchten Plugins liegen, oder an fehlerhaften - Joomla ist relativ bekannt, dh gerne angegriffen, selbe Problematik hat(te) Windows auch den Ruf eingebracht.
2. Wie kann ich diesen Trojaner ausfindig machen?
Denke da bist du z.T schon selbst drauf gekommen.
3. Wie kann ich sicherstellen, dass dies nicht ein drittes Mal passiert? Nach der letzten Neuinstallation habe ich die Passwörter geändert.
Passwörter komplex gestalten (Level 1),
wie drnatur es schon angeführt hat nicht einfach das erst beste Plugin installieren, sondern auch die Bewertungen (gerade in Hinsicht auf sicheres Programmieren) beachten und vorallem schauen, wie es bei tertiären Formularen gehandelt wird.
Der erste Schritt wäre allerdings ein permanenter Virenschutz - Testversionen sind eigtl pro Forma immer nur "Brandbekämpfer".
Viel Erfolg
Probiere mal alternative [Online] Virenscanner aus (bspw: Trend Micro Housecall ovgl, gerne auch mehrere) um deine Clients definitiv Virenfrei zu sichten.
Zu deinen Fragen
1. Wie kann sich ein Trojaner eigenständig in einen Webseitencode schreiben bzw woher kann dieser kommen?
WIe bereits gesagt kann das an verseuchten Plugins liegen, oder an fehlerhaften - Joomla ist relativ bekannt, dh gerne angegriffen, selbe Problematik hat(te) Windows auch den Ruf eingebracht.
2. Wie kann ich diesen Trojaner ausfindig machen?
Denke da bist du z.T schon selbst drauf gekommen.
3. Wie kann ich sicherstellen, dass dies nicht ein drittes Mal passiert? Nach der letzten Neuinstallation habe ich die Passwörter geändert.
Passwörter komplex gestalten (Level 1),
wie drnatur es schon angeführt hat nicht einfach das erst beste Plugin installieren, sondern auch die Bewertungen (gerade in Hinsicht auf sicheres Programmieren) beachten und vorallem schauen, wie es bei tertiären Formularen gehandelt wird.
Der erste Schritt wäre allerdings ein permanenter Virenschutz - Testversionen sind eigtl pro Forma immer nur "Brandbekämpfer".
Viel Erfolg
Hallo zusammen und alle, die vielleicht das Problem auch vielleicht mal haben werden.
Erstmal vorab: Ich vermute nicht dass es an den Plugins liegt. Diese existieren schon seit Jahren auf der Seite, wurden nicht geändert und befinden sich auch nicht auf der Blacklist.
So, den Trojaner konnte ich vorerst löschen. Was habe ich gemacht?
Ich habe die komplette Webseite lokal runtergeladen und nach dem Script gesucht was mit sucuri ausgespuckt hat. Dieser Dreckscode hatte sich in jede index.php Datei der Templates geschrieben (/templates). Egal ob Standard template von Joomla oder auch egal ob aktiviert od. deaktiviert. Sucuri cached leider die Abfragen 24H, daher kann ich meine Seite erst morgen wieder checken. Weder Kaspersky noch Avira blocken den zugriff, daher scheint die Seite wieder clean zu sein.
Offen bleibt die Frage wie das ein zweites Mal passieren konnte. Das wird mir niemand beantworten können, auf die Recherche muss ich selber gehen (Tipps werde ich befolgen). Fürs erste werde ich den Thread als gelöst markieren.
So Nebenbei: Ich hatte folgende Antivirenprogramme: Avira auf Firmenlaptop, Kaspersky auf einem anderen privaten Rechner und MSE auf diesen hier, von welchem der Screenshot stammt. Da MSE der einzige war, der nicht gemeckert hat, habe ich den runter und Kaspersky installiert. Lizenz wird nachbestellt.
Vielen Dank an alle beteiligten!
Erstmal vorab: Ich vermute nicht dass es an den Plugins liegt. Diese existieren schon seit Jahren auf der Seite, wurden nicht geändert und befinden sich auch nicht auf der Blacklist.
So, den Trojaner konnte ich vorerst löschen. Was habe ich gemacht?
Ich habe die komplette Webseite lokal runtergeladen und nach dem Script gesucht was mit sucuri ausgespuckt hat. Dieser Dreckscode hatte sich in jede index.php Datei der Templates geschrieben (/templates). Egal ob Standard template von Joomla oder auch egal ob aktiviert od. deaktiviert. Sucuri cached leider die Abfragen 24H, daher kann ich meine Seite erst morgen wieder checken. Weder Kaspersky noch Avira blocken den zugriff, daher scheint die Seite wieder clean zu sein.
Offen bleibt die Frage wie das ein zweites Mal passieren konnte. Das wird mir niemand beantworten können, auf die Recherche muss ich selber gehen (Tipps werde ich befolgen). Fürs erste werde ich den Thread als gelöst markieren.
So Nebenbei: Ich hatte folgende Antivirenprogramme: Avira auf Firmenlaptop, Kaspersky auf einem anderen privaten Rechner und MSE auf diesen hier, von welchem der Screenshot stammt. Da MSE der einzige war, der nicht gemeckert hat, habe ich den runter und Kaspersky installiert. Lizenz wird nachbestellt.
Vielen Dank an alle beteiligten!
OK, aber bitte beobachte die Seite in den nächsten Tagen, es besteht die Möglichkeit, dass sich der Trojaner neu einnistet (= Nachlädt, falls nicht mehr vorhanden)
Viel Erfolg
Viel Erfolg
Zitat von @Shardas:
Erstmal vorab: Ich vermute nicht dass es an den Plugins liegt. Diese existieren schon seit Jahren auf der Seite, wurden nicht
geändert und befinden sich auch nicht auf der Blacklist.
So, den Trojaner konnte ich vorerst löschen. Was habe ich gemacht?
Ich habe die komplette Webseite lokal runtergeladen und nach dem Script gesucht was mit sucuri ausgespuckt hat. Dieser Dreckscode
hatte sich in jede index.php Datei der Templates geschrieben (/templates). Egal ob Standard template von Joomla oder auch egal ob
aktiviert od. deaktiviert.
Erstmal vorab: Ich vermute nicht dass es an den Plugins liegt. Diese existieren schon seit Jahren auf der Seite, wurden nicht
geändert und befinden sich auch nicht auf der Blacklist.
So, den Trojaner konnte ich vorerst löschen. Was habe ich gemacht?
Ich habe die komplette Webseite lokal runtergeladen und nach dem Script gesucht was mit sucuri ausgespuckt hat. Dieser Dreckscode
hatte sich in jede index.php Datei der Templates geschrieben (/templates). Egal ob Standard template von Joomla oder auch egal ob
aktiviert od. deaktiviert.
hallo,
freut mich, dass wir helfen konnten.
Eine (nein, zwei) Fragen hätte ich dann noch:
Welche Templates verwendest du?
Sind die Plugins alle aktuell?
liebe Grüße,
drnatur
P.S. Informier deinen Hoster (falls nicht schon geschehen) Der sollte an der Sicherheit seiner Server interessiert sein!
Ich verwende das Allrounder Template von lernvid. Die Programmieren ziemlich viel für Joomla und andere CMS Systeme.
Plugins sind Image Gallery von sigpuls und anticopy. Beide schienen allerdings nicht aktuell gewesen zu sein. Ist zwar eine Sicherheitslücke aber ich wage es dennoch zu behaupten dass sich kein trojaner dadurch Schreibrechte auf meinem Webspace geben und sich in Dateien hardcoden kann.
Die Plugins habe ich aktualisiert. Zusätzlich habe ich im Verwaltungspanel des Hosters den Schreibschutz aktiviert. Nun hat nichtmal weder mein Account noch irgend ein anderer Änderungsrechte. Bei Bedarf ändere ich das temporär.
Plugins sind Image Gallery von sigpuls und anticopy. Beide schienen allerdings nicht aktuell gewesen zu sein. Ist zwar eine Sicherheitslücke aber ich wage es dennoch zu behaupten dass sich kein trojaner dadurch Schreibrechte auf meinem Webspace geben und sich in Dateien hardcoden kann.
Die Plugins habe ich aktualisiert. Zusätzlich habe ich im Verwaltungspanel des Hosters den Schreibschutz aktiviert. Nun hat nichtmal weder mein Account noch irgend ein anderer Änderungsrechte. Bei Bedarf ändere ich das temporär.
Leider ist es so (wie beschrieben im Vergleich zu den WIn Systemen), dass kleinste Lücken für großes ausgenutzt werden können, wenn diese Programmieren zu dem noch populär (und nicht up2date sind umso mehr.
Denke aber der Schreibschutz ist dafür nun die effizienteste Prävention - evtl. zudem, wie vorgeschlagen noch ein regelmäßiges Backup.
Denke aber der Schreibschutz ist dafür nun die effizienteste Prävention - evtl. zudem, wie vorgeschlagen noch ein regelmäßiges Backup.
Moin,
der Schreibschutz auf Dateisystemeben bringt nur bedingt Sicherheit. Joomla (und fast alle anderen CMS auch) speichern Content zumindest teilweise in der (My)SQL-DB. Es genügt also eine "simpler" SQL-Injection um den Schadcode (i.d.R. ein iFrame oder Javascript) in die DB zu schreiben und schon wird jedem Besucher präsentiert ohne auch nur einmal das Filesystem berührt zu haben.
lg,
Slainte
der Schreibschutz auf Dateisystemeben bringt nur bedingt Sicherheit. Joomla (und fast alle anderen CMS auch) speichern Content zumindest teilweise in der (My)SQL-DB. Es genügt also eine "simpler" SQL-Injection um den Schadcode (i.d.R. ein iFrame oder Javascript) in die DB zu schreiben und schon wird jedem Besucher präsentiert ohne auch nur einmal das Filesystem berührt zu haben.
lg,
Slainte
Logisch, aber die SQL Zugriffe kann er schlecht verhindern. Zudem besteht nun hoffentlich eine erhöhte Wachsamkeit gegenüber veralteten Modulen die entsprechende Injections erst ermöglichen.
