Prima di tutto, l'autorizzazione 777 significa che il file di configurazione di cui stai parlando può essere modificato da qualsiasi altro utente sul sistema . Quindi, in sostanza, un hacker che compromette il tuo server e ottiene l'accesso al sistema operativo ha le autorizzazioni necessarie per manomettere quel file.
Un hacker può compromettere il tuo server e ottenere l'accesso al sistema semplicemente sfruttando un servizio vulnerabile in esecuzione sul tuo server, come le vecchie versioni senza patch di Samba o FTP.
Potrebbe anche sfruttare una vulnerabilità all'interno del tuo server web o dell'installazione di PHP per ottenere privilegi di esecuzione di codice in modalità remota. Ad esempio, dai un'occhiata a questo bug CGI PHP che può essere facilmente sfruttato utilizzando il metasploit Framework open source gratuito .
Molto probabilmente, l'hacker ha cambiato il file di configurazione sfruttando una vulnerabilità nell'installazione di Joomla . Al momento della stesura di questo articolo, l'ultimo aggiornamento della serie Joomla 1.5.x è 1.5.26 . La tua installazione di Joomla è completamente aggiornata?
Se vuoi rintracciare l'attività dell'hacker, un buon punto di partenza sarebbe l'ispezione dei tuoi file di log, presumendo ovviamente che l'hacker non coprisse le sue tracce e manomesse anche questi.