Die Frage muss also lauten: wurden Deine Dokumente auf dem Webservcer verändert?

Ja, wurden sie.

Wahrscheinlicher ist ein gehackter FTP-Zugang, bei dem das Passwort zu einfach war oder noch wahrscheinlicher ist ein kaputtes Upload-Script, ein Form-Mailer mit Attachmentmöglichkeit, oder sonst irgendeine Möglichkeit, über die Dateien oder Teile davon auf den Server gelangen können.

Ich tippe mal auf ein geratenes Passwort für den FTP-Zugang. Hatte vor ein paar Tagen auch eine exe, die der Virenscanner angemeckert hatte, vielleicht hat die den FTP-Zugang ausgeplaudert??
Uploadmöglichkeiten habe ich in den Scripten nicht, da kann eigentlich nix sein.

Eine weitere Möglichkeit stellen unüberlegte Includes in PHP-Dokumenten dar.

Da bin ich zum Glück auf der sicheren Seite, da meine Includes komplett fest verdrahtet sind. Und auch die sonstigen Übergabeparameter werden vor der Weiterverarbeitung geprüft. Das sollte eigentlich sauber sein.

viele Grüße vom
Opferlamm