Es gibt diverse Möglichkeiten, Webserver zu hacken. Eine simple ist die, dass sich jemand in den Besitz Deiner Kennwörter bringt (z.B. durch Ausspähen, persönlich oder über einen Trojaner). Eine ebenso simple andere Möglichkeit besteht darin, technische Lücken auszunutzen, die sich auf Deiner Webpage befinden.

Solche Lücken sind weit verbreitet, und vermutlich bekommen die meisten Webmaster gar nichts davon mit, und auch nicht, dass auf ihren Servern Unwesen getrieben wird.

Die meisten Lücken stecken in Upload-Modulen. Stell Dir vor, Du benützt irgend ein (üblicherweise kostenloses) Skript, oder irgendein kostenloses CMS. Dort ist dann die Möglichkeit geboten, im Rahmen eines Boards, Gästebuchs etc. Texte zu verfassen oder Dateien hochzuladen.

Sind solche Skripte bzw. Möglichkeiten nicht ausreichend abgesichert, ist es Angreifern möglich, mit ihrer Hilfe Schadcode oder gar ganze Schaddateien auf Deinen Rechner zu schleusen.

Dann hast Du beispielsweise auf Deinem Rechner irgendwelche Upload-Module, mit deren Hilfe ein Angreifer in Zukunft beliebige Dateien auf Deinen Rechner hochladen kann, oder sonstige Geschichten, mit denen er Dateien auf Deinem Rechner beliebig manipulieren kann, und so weiter. Dann wird jeder Besucher auf Deiner Seite umgelenkt, lädt seinerseits Trojaner oder was auch immer, oder Dein Server arbeitet als Spamschleuder, oder was auch immer ...

Was Du tun kannst, um so etwas zu vermeiden, ist u.a.:
1. achte genau auf die Installationsanleitung Deiner CMS oder sonstigen Module - häufig muss man nach der Installation irgendwelche Install-phps oder so entfernen. Werden die nicht entfernt, kann sie jeder erneut aufrufen und sich so Zugang zu Deinem CMS verschaffen.
2. Schau in einschlägigen Foren nach Sicherheitshinweisen bei Benutzung von ...
3. Achte auch darauf, welche Module "eingeklinkt" werden. Also wenn Du z.B. ein opensource-CMS benutzt, kann es sein, dass dieses als Editor wiederum eine Software verwendet, die ihrerseits von einem anderen Autor stammt und opensource ist - in solchen Fällen musst Du auch nach den Sicherheitslücken dieser anderen Software forschen
4. Achte darauf, dass die Rechte für die Verzeichnisse und Dateien Deines Servers korrekt gesetzt sind. So brauchen beispielsweise Image-Verzeichnisse keine Execute-Rechte.
5. Installier ein paar kleine Honey-Pot-Dateien - also einfache Dateien mit HTML oder php, die aber nicht aktiv in Deiner Seite eingebunden sind. Diese kannst Du dann regelmäßig und einfach runterladen - selbstverständlich nicht mit dem Browser ... - und auf Manipulationen prüfen - das hilft besonders bei umfangreichen CMS-Files- und Datenbeständen.
6. Ändere regelmäßig Deine Passwörter - sowohl die für den Server, als auch die für Deinen CMS-Admin (dass die unterschiedlich sind, sollte eh klar sein.)

Die Aufzählung ist sicher nicht vollständig, sollte aber schon mal für den Anfang helfen ...

EDIT: fast vergessen: und vergewissere Dich regelmässig, dass auf dem Rechner, von dem aus Du die Seite betreust, keine Viren/Trojaner/Passwortsniffer etc. sind ...

Ich bin da leider nicht so der große Kenner, was Joomla-Details angeht, aber Du kannst Dich in diversen Foren über die speziellen Sicherheits-Maßnahmen im Zusammenhang mit Deinem CMS und der jeweiligen Version informieren, z.B. hier.

Das Problem ist, dass Hacker sich ja immer nach neuen Lücken umsehen, Du musst Dich daher regelmäßig auf dem Laufenden halten und ggf. zeitnah neue Patches bzw. Versionen installieren.

Und das betrifft wirklich alle Komponenten, wie ich ja schon gesagt habe - bei mir kam ein Eindringling beispielsweise mal über den FCKeditor, der Teil meines CMS war, an Bord, und beim nächsten Mal waren meine Galleryscripts versifft.

Im Zweifel hilft daher nur, alle nicht dringend benötigten Komponenten zu entfernen, und nur das auf dem Server zu lassen, was man wirklich braucht - bei komplexeren CMS hast Du kaum Chancen, alles dauernd zu überprüfen. Und zudem solltest Du auch bei einer Neuinstallation zuerst mal jedes einzelne HTML- oder PHP-File überprüfen, ob es überhaupt clean ist - ich bin halt einmal hergegangen und hab jede einzelne PHP-Datei meines CMS durchgearbeitet, um sicherzugehen, dass da weder ein offenes Loch noch bereits Schadcode drin ist - was allerdings voraussetzt, dass Du wenigstens Grundkenntnisse der jeweiligen Sprachen (PHP, Javascript, ActiveX etc.) hast.

Im Zweifel hilft nur: rauswerfen. Code, Crosssite-Scriptingbefehle, Dateien - was nicht hundertprozentig sicher ist, muss rausfliegen. Eindringlinge können alles nutzen, nicht nur die eigentlichen CMS-Bestandteile - also wenn Du beispielsweise irgendwelche Gallery-Module benützt, oder Editoren, Upload-Konnektoren, etc., ist auch hier ein Eindringen möglich - im Prinzip ist alles verwundbar, und jedes PHP-File, das sich auf Deinem Space befindet, kann auch gestartet werden, wenn der Angreifer weiß, wo das ist und wie das heißt, und wenn die Datei- bzw. Verzeichnisberechtigung entsprechend gesetzt ist. Da gerade Standard-CMS und die üblichen Skripte allgemein bekannt sind, konzentrieren sich Hacker gerne auf solche Teile, und per Google hat der Böse in ein paar Hunderstelsekunden ein paar Tausend Server mit den jeweiligen Files lokalisiert (übrigens auch eine Abwehrmaßnahme: über die robots.txt nur die Verzeichnisse/Dateien freigeben, die nutzergenerierte Inhalte haben, aber auf möglichst nicht PHP-Files, Editor-Verzeichnisse und so weiter in Suchmaschinen aufnehmen lassen ...).

Sichern hilft bedingt - nämlich dann, wenn Du sicher sein kannst, dass die gesicherten Dateien clean sind. Ansonsten lädst Du Dir bei einer Neuinstallation selbstverständlich den Schadcode wieder mit hoch ...

Die Tatsache, dass bei Dir im Firefox nichts passierte, aber im Explorer dann irgendwas seltsames abgelaufen ist, könnte übrigens beispielsweise darauf hinweisen, dass Du im einen Browser Scripting bzw. Javascript/ActiveX nicht aktiviert hattest, aber im anderen wohl. Da läuft dann ein Script ab, und den Adressen zufolge wird von irgendeiner fremden Seite was heruntergeladen - üblicherweise irgend ein Trojaner, der sich dann schön auf jedem Rechner breitmacht, der Deine Seiten aufruft ... und wenn er auf Deinem Rechner läuft und als Keylogger ausgelegt ist, schreibt er dann auch jede Passwortänderung, die Du vornimmst, schön mit und schickt sie umgehend an den Kerl, der Dich hackt ... im worst case, natürlich ... ;-) Wenn Du noch weißt, auf welcher Seite das passierte, kannst Du sie Dir ja per FTP runterladen und mit einem neutralen Texteditor (Notepad oder so), der nicht in der Lage ist, code aktiv auszuführen, im Detail anschauen.

Übrigens war bei mir mal der komplette Server infiziert - mehrere Subdomains, die nach Außen völlig unabhängig voneinander waren, aber auf dem selben Server lagen. Es hilft im Zweifel also nicht, nur eine Subdomain zu säubern - worst case kannst Du Deinen kompletten Bereich cleanen ...

ja, die Index.html-Dateien waren auch bei mir immer als erste verseucht. Ist ja auch relativ logisch - denn das ist ja üblicherweise auch das Erste, was ein Besucher auf Deinem Server aufruft bzw. ausführt. Kannst ja auch versuchen, die auf Read-Only zu setzen, damit keine (einfache) Veränderung daran mehr vorgenommen werden kann - solche Maßnahmen schränken die Funktionalität von CMSen aber natürlich ein. In meinem Fall wurde die Index.html immer durch eine PHP neu gebaut, dürfte in Deinem Fall ja ähnlich sein - und praktischerweise regeln Hacker das dann so, dass der Schadcode in der Bauanleitung bzw. in der PHP steckt. Und bei jeder Neugenerierung der Index.html hast Du dann den Mist wieder drin.

Bei mir waren übrigens alle Index-Dateien verseucht - also auch die in Unterverzeichnissen wie Image-Verzeichnissen, und so weiter. Ach ja, und in einem Image-Verzeichnis steckte eine PHP-Datei, die da nix zu suchen hatte. Auch über die hat sich ein Hacker wohl immer wieder Zugriff auf meinen Server verschafft. Nachdem ich sie gelöscht hatte, war sie einen Tag später wieder da - da kam ich auf die Idee, sie dort zu lassen, aber geringfügig zu verändern ... und auf Read-Only zu setzen ... von da an hatte ich Ruhe ...