hi,

ich habe bei Lycos einen kleinen Webspace. Dieser wurde jetzt das zweite mal gehackt (jeweils eine neue Index aufgespielt).
Wie kann das denn sein? Braucht man da nicht die FTP Zugangsdaten?

Nein, man braucht nur einen Webseitenersteller, der absolut mangelhafte Scripte schreibt oder einsetzt.

Wei weit geht da das Verschulden des Betreibers?

Dem könnte man höchstens vorwerfen, dass allow_url_fopen aktiviert ist.
Da dieses Feature aber harmlos _wäre_, wenn die Kunden wüssten, was sie tun, kann auch das eigentlich nicht zum Vorwurf gemacht werden.

Und wie weit meines (Wahl des Passwortes)?

Zu 99,9%.
Aber nicht durch die Wahl des Passwortes, sondern durch mangelhafte Scripte.

Ich schaue mir einen Link in der Form http://www.stefan-luger.de/index.php?sldoc=home.php an, und weiß gleich, dass du deine Inhalte höchstvermutlich einfach per include einbindest.

Dann mal kurz zu schauen, ob sich da auch externe Inhalte einbinden lassen, ist auch ganz fix gemacht: http://www.stefan-luger.de/index.php?sldoc=http://www.heise.de
Hoppla, was ist das denn - die Inhalte von heise.de in deine Seite integriert?

Und wenn man jetzt noch davon ausgeht, dass du wirklich include zum Einbinden benutzt, PHP-Code in den eingebundenen Dateien oder Ressourcen also ebenfalls geparst werden würde - dann braucht man nur noch eine externe Ressource, die PHP-Code ausliefert, auf diese Weise in dein Script einbinden - und schon wird dieser PHP-Code auf deinem Server unter deinen Benutzerrechten ausgeführt.
Also könnte man damit Dateien löschen, unbenennen, neue erstellen - ganz genauso, wie du es mit PHP auch könntest.

Dieses Script solltest du also schnellstens offline nehmen, und es ausbessern.
Z.B., in dem du erst mal eine Überprüfung des übergebenen Parameters einbaust - und nur, wenn dieser in einer Menge von dir definierter Werte liegt, bindest du die entsprechende Datei auch wirklich ein.

gruß,
wahsaga