Hallo dedlfix

Möglicherweise ist der Müll durch ein Update auf eine neuere Version verschwunden, weil die betroffene(n) Datei(en) überschrieben wurde(n). Es kann aber auch sein, dass er immer noch da ist, auch in Form zusätzlicher Dateien.

Der Content ist nicht durch ein Backup wiederhergestellt worden und wurde auch nicht verändert. Und selbst, wenn versteckter Code vorhanden sein sollte, dann müssten die Pornolinks doch permanent auftauchen.

Hinsichtlich sämtlicher Zugänge zum Code, sowohl per CMS also auch per (S)FPT, MySQL, SSH und Provider-Account: Jedes Passwort ist länger als 15 Zeichen und besteht aus einem Wirrwar an Zeichen, ähnlich "j(ls_4612!--234j09s4l,?", verwaltet durch einen lediglich lokal verfügbaren Passwort-Manager. Da fühle ich mich "relativ" sicher. Aber natürlich könnte einer unbemerkt in mein Büro eingebrochen sein, meinen Rechner gehackt haben, alle Spuren beseitigt haben, usw., aber echt jetzt?

Aber scheinbar tauchen die Veränderungen ausschließlich in der google-Cache-Version auf.

Mein Provider hat auf mein Bestreben hin nach kompromittierten bzw. neuen Dateien mit Schadcode gesucht. Er hat zwar auffällige Stellen gefunden, die aber nicht im Zusammenhang mit dem jetzt aufgetretenen Effekt zu sehen sind. Dafür sind diese Dateien auch schon zu lange unangetastet im System.

So, aber mal angenommen, da läge tatsächlich eine Datei auf dem Server, die - per URL-Eingabe aktiviert - die Ausgabe des Contents manipuliert, dann findet die Änderung doch nur beim Aufrufer statt, oder nicht? Wäre die Manipulation permanent, müsste ich sie doch hinterher im Quellcode bzw. in den DB-Contents wiederfinden. Da ist aber nichts.

Wenn also die Manipulation im google-Cache auftaucht, dann müsste doch der google-Bot die Seite mit Manipulationsdaten "gefüttert" haben.

Eine andere Erklärung sehe ich nicht. Aber vielleicht machst Du mich ja noch "weitsichtiger"? 😉

Gruß, Carsten