phpBB.de

Hi,
ich habe in einem Forum das Problem, das in der letzten Woche bereits 3-mal index.html & index.php Dateien verändert wurden.
Zuerst wurde ein I-Frame mit 1x1px Größe eingebunden welches verseuchten Content von dubiosen Seiten geladen hat.
Ich habe sämtliche Dateien wieder hergestellt und alle User mit Adminrechten und FTP-zugang dazu aufgefordert umgehend ihre rechner komplett nach Schadprogrammen zu durchsuchen. Gefunden hat keiner der betroffenen User etwas verdächtiges.

Dann wurden wieder index Dateien in dieser Form modifiziert: Ich habe wieder alles durchsucht, korrigiert und hochgeladen. Dann habe ich einige .htacces Veränderungen vorgenommen die hier im Forum in einer ellenlangen Diskussion zum Thema Sicherheit vorgeschlagen wurden.
Das Update auf Version 3.0.5 ist eingespielt und der Hoster hat zwischenzeitlich auch einige Sicherheitspatches eingespielt und die PHP Version 5.1.6 installiert.

Jetzt wurden allerdings wieder Files verändert.
Diesmal in der Art: Im acces_log finde ich nichts auffälliges was, in etwa zu der Zeit als die Dateien verändert wurden, stattgefunden hat.

Wie ist sowas überhaupt möglich und was könnte ich noch alles machen?
Kann man die Indexdateien vor Veränderung schützen?

KB:gehackt

Ja danke, die links im phpbb.com blog zu unmaskparasites.com waren für das Verständniss wie diese Würmer funktionieren recht hilfreich.
Ich wusste z.B. nicht, das Filezilla das FTP Passwort als plaintext übermittelt und das einer der Würmer eine Sicherheitslücke im Acrobat Reader ausnutzt.
Da hab ich ja morgen was zu tun

FTP Passwörter werden immer plain text übermittelt, ansonsten sollte man das Protokoll SFTP benutzen (wird kaum angeboten) oder per ssh die Verbindung öffnen oder was auch immer.