Hi Jörg,

es läuft einzig ein weniger bekanntes CMS. Laut Logs fanden direkte FTP-Logins statt. Dort sehe ich, den Usernamen und dass sich der Angreifer mehrere Dateien zum ansehen downgeloadet hat (FTP-Status "RETR") und die für ihn interessanten Dateien (php und js) mit kleinen Codeschnipseln ergänzt hat ("STOR"). Daher denke ich, dass nicht über das CMS eingebrochen wurde.

Grüße
Max