Thema: (verschoben) Webseite manipuliert

Hallo,

ich habe heute bei einer (Kunden)Joomla Installation folgende Entdeckung gemacht. Beim Laden (durch Klick auf Link) wird immer auf die Seite "xxx" zugegriffen ("nachgeschlagen"). Diese Seite wird von Firefox bereits als "attackierende Seite" gemeldet und geblockt. Die Antiviren Software GData erkennt den Virus beim Besuch meiner "Problemseite". Im Quelltext ist ersichtlich, das zwischen dem HEAD und BODY Bereich ein Java-Script eingefügt wurde. Auf meinem FTP wird ebenfalls ersichtlich das folgende Dateien geändert wurden:
configuration.php
index.php
index2.php
sowie die index Dateien in den Template Ordner. Ausserdem wurden die Images Ordner um folgende Dateien erweitert: gifimg.php und image.php
Infos zur Joomla Version:
Joomla! 1.5.9 Production/Stable [ Vatani ] 9-January-2009 23:00 GMT
Legacy Modus: 1.0
PHP-Version: 4.4.9
Webserver: Apache/1.3.37 (Unix)

Bei Google ist noch nicht allzu viel zu finden, da dieser Virus neu zu sein scheint.
Meine Frage: Handelt es sich hierbei um eine Joomla-Sicherheitslücke oder ist die Ursache bei dem Provider unseres Kunden zu suchen (Strato)? Komplettes Leeren des Servers und Neuinstallation bringt wohl laut Google nix, da das Script sich sofort neu reinschreibt.
Besten Dank!
BITTE KEINE INFIZIERTEN URLs POSTEN! URLs entfernt. JamFX

also zuerst mal die seite per .htaccess dichtmachen, dann die letzte cleane sicherung einspielen, update auf die neueste joomla-version machen (1.5.9 ist nicht die neueste). dort kann schon die sicherheitslücke liegen. auch alle passwörter ändern (ftp, db, mail). ansonsten kannst du schauen, ob dir die server-logdateien weiterhelfen. auch alle komponenten und module, die installiert sind, können sicherheitslücken haben. dort auch dringend alle benötigten updaten, die nichtbenötigten deinstallieren.

McAfee SiteAdvisor:

Our analysis found that this site may be promoted through spammy e-mail.

Kommentare von Reviewern und Site-Inhabern
Adware, Spyware oder Viren (5)

WHOIS Lookup
Registrant Organization: Chen
AUCH HIER: KEINE INFIZIERTEN URLs POSTEN! Entfernt von JamFX!

AUCH HIER: KEINE INFIZIERTEN URLs POSTEN! Entfernt von JamFX!

Schlichtweg falsch, denn: ENTFERNT! ist von McAfee und hat n i c h t s mit VIRENVERSEUCHTEN Seiten /Links zu tun, ebenso wenig wie: McAfee SiteAdvisor ENTFERNT!
(Gleicher LINK)! = (man sieht es, wenn man nur weiß wie).

http://www.siteadvisor.com/

Wir überprüfen Websites auf Spyware, Spam und Online-Betrug, damit Sie im Internet sicherer suchen, surfen und einkaufen können

Habe ich als Toolbar!

LINK zu: http://www.mcafee.com/de/ (McAfee)

/edit: Einfach mal draufklicken.

Zitat von jamfx

Tina,
hör auf URLs von SPAM- / Hackseiten zu posten! Keine Sorge, ich hab kein Problem mit der URL von McAfee, sonder mit der URL die du trotzdem weiterhin bekannt machst! Also lass das!
Gruß
JamFX

Ich habe keine URL von Hackerseiten gepostet, sondern lediglich die Bewertung von McAfee. (Immerhin eines der bekanntesten Antivirenprogramme weltweit).
Das ich deshalb von Dir eine Verwarnung erhalte - unglaublich!

Zitat von DennisBahns

Aus dem Link konnte man aber wahrscheinlich sehen, welche Seite gehackt wurde, oder?

Nein, lediglich wer sie verbreitet, was auch gut so ist.
(Samt der Bewertung von McAfee und den Usern die Sites für McAfee bewerten /prüfen).

Zu der Zeit hieß das Thema noch wie die URL!
Mein Post bezog sich somit auf den Titel des Threads.

Du hättest also zu erst den Titel des Threads anprangern können /müssen, oder?
Stattdessen "verpasst" Du mir eine Verwarnung...