Interessant finde ich for allem das Coppermine im Wartungsmodus war und trotzdem wurde die Software angegriffen.
Der Wartungsmodus hat nur verhindert, dass legitime Benutzer etwas tun konnten. Die "vulnerability", die der Hack ausgenutzt hat schert sich einen Kehricht um den Wartungsmodus. Der Wartungsmodus schaltet letztendlich nur die Seiten des Frontend für den Benutzer ab, aber nicht das Backend.
Ich habe alle Daten von meinem Webspace (Server) gelöscht und nur erstmal Joomla und phpbb neu aufgesetzt. Dazu die Passwörter der Datenbank geändert. Die Frage ist, ob nicht der Trojaner noch irgendwo lauert?
Wie kann ich das überprüfen? Noch einen Virenbefall würden mir meine Nutzer nicht verzeihen. Alle Besucher die meine Webseite besuchten als der Trojaner zu Gast waren haben ihre Computer infiziert, sind so an die 200.
Wie schon in der Anleitung beschrieben musst Du zwischen der Vulnerability (also der Angreifbarkeit) und dem Payload (also dem Code, die der Angreifer eingeschleust hat) unterscheiden. Das "Loch", das der Angreifer genutzt hat, um sich Zugang zu verschaffen sollte gestopft sein. Die Säuberung des Payload wird in der Anleitung beschrieben für Coppermine. Da der Payload auch anderswo lauern kann musst Du also alle Datein auf Deinem Webserver überprüfen (also auch Joomla, phpbb und Co.), was Du anscheinend getan hast.
Was Du noch tun kannst ist, Deinen Besucher einen sichereren Browser zu empfehlen.
Absolute Sicherheit gibt es leider nicht - weder Coppermine noch die anderen genannten Applikationen sind gegen zukünftige Attacken hundertprozentig gefeit. Die alte Weisheit "there is always one more bug" trifft mit Sicherheit zu. Relative Sicherheit erreichst Du durch das Up-to-date halten Deiner Applikationen und regelmäßige Backups.
Einen Zero-Day-Exploit wie den gerade erlebten kannst Du damit aber nicht verhindern - sorry. Es sollte auch Deinen Benutzern klar sein, dass das Internet ein gefährlicher Platz ist; auch beim Besuch von Seiten, denen sie vertrauen.