es gibt durchaus angriffsmöglichkeiten bei großen forums- oder cms-system (phpBB, nuke, postnuke, phpkit, ...), deren bekanntheit natürlich mit der bekanntheit der systeme selbst ansteigt. diese werden natürlich auch schneller gefunden und gefixt als bei kleineren oder eigenen projekten, aber dafür muss man als webmaster auch oft genug upgraden - und bei für eigene zwecke modifiziertem code ist das manchmal nur sehr schwer bis gar nicht machbar.
solche lecks beschränken sich aber vorwiegend auf das verändern von daten in der datenbank mittels sql-injection - d.h. es wird an die url ein parameter angehängt, der ein sql-statement enthält oder erweitert (das bei ungenügendem check der parameter eben nicht geblockt wird) und mit dem es z.b. möglich ist, sich selbst admin-rechte zu geben. das erfordert jedoch eine gute kenntnis oder ein leicht durchschaubares system, und das ist natürlich bei größeren projekten eher der fall.
mangelhafte parameterprüfung kann auch direkt sicherheitsabfragen aushebeln, z.b. beim löschen von posts o.ä.
kürzlich habe ich bei einer in der modding-toplist _SEHR_
hoch platzierten seite ein leck gefunden, dass auf einen verbreiteten programmierfehler hinweist: per parameter wird ein dateiname angegeben und der inhalt der datei "in den rest der seite kopiert", so dass er vom design, menü usw. eingeschlossen wird. prüft man dann die pfadangaben nicht, so kann man prinzipiell mit einschränkungen (je nach fall) jede datei im webbrowser anzeigen lassen. auch wenn dies vllt keine passwörter enthüllt, so lässt sich doch zumindest über /etc/passwd, .htpasswd und co einiges an hilfreichen informationen ergattern. bei non-shadowed passwörtern wie z.b. in der .htpasswd lassen sich diese außerdem schön schnell und unbemerkt am eigenen rechner mittels bruteforce nachgenerieren und vergleichen, bei einem treffer hat man zugriff.
vollständige defacements erfordern jedoch zugriff auf das verzeichnis auf dem server, dass die webseiten enthält. dazu ist ftp-zugang eine gängige möglichkeit, aber minimalistische nachrichten können natürlich auch direkt auf dem system getippt und bilder mittels wget oder rcp auf den webserver übertragen worden sein. ein ungeschütztes phpMyAdmin oder leck auch nur im newsscript würde daher zwar für eine eingeschleuste botschaft reichen, aber eben nicht für ein defacement.
natürlich gibt es zahlreiche sicherheitslücken, die davon leben, dass sie nicht gepatcht werden, obwohl es bereits patches gibt. das kann bei webhostern natürlich ähnlich wie oben sehr aufwändig und auch zeitintensiv sein, manchmal passiert es jedoch aus unkenntnis oder ignoranz gar nicht. je mehr angebote gehostet werden, desto öfter sind z.b. auch admin-passwörter und systemeinstellungen die gleichen. und solche dinge werden auch meist nicht von schlampigen administratoren überprüft und erkannt.
in diesem fall muss wie gesagt wo anders die tür offen gewesen sein. sollte jemand versucht haben, via bruteforce an das ftp-passwort zu kommen (man braucht neben dem pw natürlich auch den usernamen, aber der lässt sich an vielen stellen ermitteln, zumal er oft identisch mit dem db-user oder db-namen ist), aber auch bei 8 zeichen lowercase dauert das schon lange. und sowas sollte eigentlich entdeckt werden oder zumindest über logs mehr als eindeutig nachvollziehbar sein.
auf jeden fall solltest du deinen webhoster möglichst detailliert über den vorfall informieren und ihn bitten, seine logs durchzusehen und dir ergebnisse mitzuteilen.
es ist äußerst fragwürdig, ob der angreifer zurückverfolgt werden kann, da er sicher nicht von seinem aol-zugang angegriffen hat, sondern über große umwege. aber es ist wichtig, dass die sicherheitslücke erkannt und geschlossen wird.
als webmaster empfiehlt es sich auch, regelmässige sql-dumps anzufertigen und aufzubewahren, um erst spät erkannte veränderungen von vor langer zeit rückgängig machen zu können. ein besonderes auge sollte dabei auf die tabelle mit den benutzer-accounts gelegt werden, denn nicht selten fügt ein unentdeckter eindringlich dort einen eigenen user mit diversen rechten hinzu, um später noch einen fuss in der tür zu haben.
so, hoffe das hat einen kleinen einblick gebracht und hilft für die zukunft.