Hallo,

naja, irgendwo muss ich ja anfangen die schwachstelle zu suchen, also hab ich die apache-accesslogs runtergeladen.

guter Gedanke, führt aber nicht zur Lösung.

von den 3 modifizierten files war ein "totes" file dabei, welches auf der homepage nicht verlinkt war. zu diesem gibts keine treffer in den logs, zu den anderen 2 nur aufrufe durch webbrowser.

Oder durch andere HTTP-Clients, die sich als Browser ausgeben. Vielleicht irgendwelche Suchmaschinen-Bots.
Aber das bringt dich nicht weiter, denn im Apache-Log kommen auch nur Informationen über normale HTTP-Aufrufe vor. Von anderen Zugriffen "weiß" der Apache ja nichts.

is aber ein irrelevanter nebenaspekt. meine frage bezieht sich darauf WIE diese 3 files modifiziert werden konnten obwohl der server gut abgesichert ist. laut google sind diese iframe-einschuebe das erste mal am 28.11. aufgetaucht, und in keinem thread konnte wer das schlupfloch ausfindig machen, drum hab ichs hier gepostet.

Es muss also ein Weg sein, der es einem Angreifer ermöglicht, unter *deinem* Account an die Daten zu kommen. Manipulation durch ein PHP-Script fällt also aus - oder läuft PHP bzw. der Webserver ebenfalls unter deinem Benutzernamen?
Ich würde mir an deiner Stelle um [d|m]einen SFTP-Zugang Sorgen machen. Könnte es sein, dass jemand unbefugt an die Zugangsdaten gekommen ist? Was sagt das Log des (S)FTP-Servers? Erkennst du dort Zugriffe, die nicht von dir selbst stammen?

So long,
 Martin