Thema: Webspace wurde über Joomla! tiny_mce angegriffen!

Hallo,

ich habe heute gestern eine Naricht von meinem Webspace-Anbieter (1&1) bekommen.

Ihr 1&1 Webspace ist über eine Sicherheitslücke in Ihrer Software
von außen angegriffen worden. In dieser E-Mail erhalten Sie eine Analyse des
Angriffs und Hinweise, wie Sie die Sicherheit wiederherstellen.

************************************************** **************************
1 Analyse des Angriffs
************************************************** **************************
1.1 Ihre folgende Software hat den Angreifern als Einfallstor gedient:
Joomla! tiny_mce

1.2 Über dieses Einfallstor haben die Angreifer die folgenden schädlichen
Dateien auf Ihren Webspace geladen:
~/components/com_remository_files/inc.php
~/components/com_quickfaq/inc.php
~/homepages/38/d68827214/htdocs/images/stories/storieslist1.php
~/homepages/38/d68827214/htdocs/images/stories/storieslist.php
~/modules/com_communicator/inc.php


1.3 Um weitere Angriffe zu verhindern, haben wir alle oben genannten Dateien
deaktiviert. Bitte beachten Sie: Dadurch erscheinen Teile Ihrer Webpräsenz
zurzeit nicht im Internet oder es sind einige Funktionen beeinträchtigt.

************************************************** **************************
2 Hinweise zur Absicherung
************************************************** **************************
Um die Erreichbarkeit Ihrer Webseiten und die Sicherheit Ihres Webspaces
wiederherzustellen, gehen Sie nun wie folgt vor:

2.1 Ersetzen Sie die folgende Software durch eine aktuellere und abgesicherte
Version:
Joomla! tiny_mce
Weitere Hinweise finden Sie unter
http://www.joomla.org/download.html

2.2 Verwenden Ihre PHP-Scripte zurzeit noch PHP4? Dann bringt Ihnen ein Wechsel
zu PHP5 mehr Sicherheit. Prüfen Sie daher bitte zusätzlich, ob Sie PHP5
verwenden können.

Hinweise zu PHP5 und wie Sie es auf Ihre Scripte anwenden, finden Sie unter:
http://hilfe-center.1und1.de/xml/sea...rch_query=PHP5

2.3 Löschen Sie die oben genannten schädlichen Dateien. Sie sind zwar zurzeit
deaktiviert, sollten aber nicht auf Ihrem Webspace verbleiben.

Das ist das erste mal das ich so einen Problem habe. Jetzt meine Frage:
Reichen die Schritte aus die mir 1&1 empfiehlt oder sollte ich noch mehr machen?
Hat schon jemand erfahrung mit diesem Problem? Im Forum habe ich noch nichts gefunden.

Danke für hilfreiche Antworten.

Welche Joomlaversion ist das ? An deiner Stelle würde ich den kompletten Webspace löschen und alles neu machen. Wer weiß wo da noch eine Hintertür ist.

Installiert ist die Version 1.5.20.
Ich werde mich jetzt mal durch die Tipps von fc-hostig kämpfen.
Danke für den Tipp.

1.1 Ihre folgende Software hat den Angreifern als Einfallstor gedient:
Joomla! tiny_mce

Das wäre interessant zu wissen was da dran ist . Nicht das da wirklich n Leck ist.

Ich muss erst einmal lesen was alles zu beachten ist.
1&1 hat ja im Prinzip schon die Datei gelistet die betroffen sind:

~/components/com_remository_files/inc.php
~/components/com_quickfaq/inc.php
~/homepages/38/d68827214/htdocs/images/stories/storieslist1.php
~/homepages/38/d68827214/htdocs/images/stories/storieslist.php
~/modules/com_communicator/inc.php

Ok.
Ich habe mal eine Frage. In der Anleitung steht "... notfalls alle Daten herunterladen und vom Server löschen"

Wenn ich jetzt die Daten runterlade, habe ich dann nicht auch den Schädling bei mir?