Hallo Martin,

ja, ich benutzte php auch :)
Sobald ein Rechner im Netz ist, hat er ein Schlupfloch. Soweit ist mir das schon klar. Wo das aktuelle war, werde ich wohl nicht so schnell herausfinden.

Die access-log hat jedenfalls zum betreffenden Zeitpunkt keinen Hinweis enthalten. Jedoch die ftp.log. Wir werden jetzt die Zugangsdaten ändern und mal abwarten. Ich vermute irgendein Passwort-Sniffer hat uns dass eingebrockt... Ich dachte zuerst daran, ob ich Opfer irgendeines bekannten Wurms oder so geworden bin und dass iframe cutlot.cn es bei irgendjemanden klingeln lässt.

Die Frage die noch bleibt ist die nach dem Sinn? Was bezweckt der IFRAME?

Wenn ich die Adresse aufrufe, werde ich auf hyperliteautoservices.cn weitergeleitet. Tja und da lande ich bei einer Indian Web Hosting Company.

Da will wohl vermutlich jemand Klicks erzeugen. Anders kann ich es mir nicht erklären.

MfG,
 fwap