Hallo,

Ich finde dieses Posting albern. Noch allgemeiner und detailärmer kann man es nicht mehr formulieren.
Wie du dir vielleicht vorstellen kannst, liegt dem grossen Detailreichtum des Postings mein umfassendes Knowhow im Umgang mit einem solchen Problem zugrunde. Du hast dir die Mühe gemacht, eine Antwort zu schreiben: Also was fehlt dir denn, was sind die Ansätze?

du hast zwar das CMS genannt, das du auf den beiden Servern nutzt, und es sind schon mal zwei verschiedene. Das macht es zumindest unwahrscheinlich, dass eine Sicheheitslücke im CMS selbst ausgenutzt wurde. Da ich aber weder von Joomla, noch von Typo3 Ahnung habe, kann ich da keine spezifischen Denkanstöße geben.

Wahrscheinlicher ist also irgendeine Schwachstelle in einer Komponente, die auf *beiden* Sites verwendet wird. Vielleicht ein Gästebuch? Falls du derartige Fremdscripte einsetzt, recherchiere nach (inzwischen) bekannten Schwachstellen. Auch die tatsächliche Domain, die über das iframe-Element referenziert wird, könnte dir bei der Recherche und Identifikation helfen.

Beide Seiten laufen auf dem klassischen Hostingangebot für kleine Privatseiten: Apache/virtuell.

Damit könnten -je nach Sicherheitskonzept des Hosters- auch andere Kunden betroffen sein, die auf demselben Server "wohnen". Hast du schon mal nachgefragt? Falls das so ist, kann auch die Ursache bei einem anderen Kunden liegen.

Wie kriegt der Bot/Hacker Zugriff auf die Seiten bzw. wie kriege ich raus wie es gelaufen ist?

Das Wahrscheinlichste ist, wie gesagt, eine Schwachstelle in irgendeinem Fremdscript, die es dem Angreifer ermöglicht hat, fremden (seinen) Code einzuschleusen. Das können etwa PHP-includes sein, bei denen Benutzereingaben ungeprüft im Pfadnamen landen.

Übers CMS-Backend kriegt man den schliesslich nicht.

Wieso nicht? Halte ich keinesfalls für ausgeschlossen.

Ist ein Hack des FTP-Zugangs wahrscheinlich?

Denkbar, halte ich aber auch nicht für wahrscheinlich. Ich hoffe, du hast dein eigenes Zugangspasswort schon prophylaktisch geändert. Trat der Eingriff danach noch einmal auf?

Mit Servertechnologie etc kenn ich mich überhaupt nicht aus.

Kontaktiere deinen Webhoster, schildere das Problem und bitte um Unterstützung. Er kann anhand der Logdateien diverser Dienste vielleicht feststellen, was wirklich gelaufen ist. Und dann kann man gezielt Maßnahmen treffen.

Meine erste Intuition wäre ja ein unbemerkter Virus auf meinem Rechner und dadurch der Zugriff auf die Files von Filezilla o.ä. gewesen, was ja auch wunderbar automatisch funktionieren dürfte.

Auch denkbar - je nachdem, wie wirksam du deine(n) eigenen Rechner unter Kontrolle hast.

So long,
 Martin