Die Vermutung liegt nahe das Schwachstellen in PHPnukeausgenutzt wurden, auch wenn der Zeitpunkt etwas anderes vermuten lässt.
OB es sich lohnt nochmals auf PHPnue zu setzen wenn dies nicht mehr weiterentwickelt wird ist fraglich...

Ich kann dir nicht wirklich empfehlen einfach wieder ein altes Backup einzuspielen da es dann wohl nicht lange dauern dürfte bis der nächste kommt und wieder Unsinn treibt.

Wie leuko schon sagt sind dort höchstwahrscheinlich Lücken im Code, die man erstmal schliessen müsste.

Wenn du ein wenig im Server-Log forschst sollte man da eigentlich erkennen können, wo möglicherweise das fehlerhafte Script lauert.

das sieht nach einem einfachen defacement aus. wahrscheinlich reicht es schon, die index.php zu editieren und die hinzugefügten zeilen zu entfernen. die nachfolgenen fehler deuten darauf hin, dass einfach etwas HTML vor das erste <?php gesetzt wurde.

viele verbreitete, in PHP implementierte produkte machen alle paar wochen von sich reden, weil wieder neue sicherheitsprobleme entdeckt und manchmal auch behoben wurden. dazu zählen insbesondere das forensystem phpBB und phpNuke sowie darauf basierende oder daran angelehnte produkte. schon seit längerem nutzen spezielle würmer diese lücken systematisch und automatisch aus.

weiterhin ist PHP selbst ein großes problem. wie man an der API schon erkennt, scheint die eine hand nicht zu wissen, was die andere tut. gerade in den letzten tagen sind sehr eklatante lücken aufgetaucht, teilweise wurden direkt korrigierte releases nachgeschoben. es gab auch für die 4.x-linie ein fehlerbereinigtes release, für 5.x aber nicht. PHP ist in vielen punkten einfach schlecht und die zahl der angriffe (wobei die hohe verbreitung und die meist sehr geringen programmierkenntnisse der anwender es auch attraktiv macht) kommt nicht von irgendwo.

auf ein nicht mehr gepflegtes system (sofern es das vorher überhaupt war) zu setzen, ist eine sehr schlechte idee.
mein tipp: besorg dir ein system wie mambo oder drupal (sind auch php-basiert, aber meines wissens von hoher qualität) und versuche, die daten zu konvertieren. oder wähle einen statischen ansatz - für die präsentation einer firma im web ist das oft ausreichend.

Zitat von »kuehlreactor«

- leider handelt es sich nicht um eine nur geänderte index.php.

bist du ganz sicher? der bisherige inhalt scheint in teilen schließlich noch da zu sein, wird nur nicht mehr ausgegeben, weil die vorherige ausgabe von HTML keine header (z.b. für cookies) mehr zulässt. vielleicht war es eine datei mit anderem namen, aber es scheint mir definitiv nur ein einfaches einfügen gewesen zu sein.
sind denn die restlichen dateien und ordner noch vorhanden oder sonst nichts?

Zitat von »kuehlreactor«

Handelt es sich bei mambo und drupal auch um Pakete mit bereits vorinstallierten modulen (Forum, fotoalbum, etc..)?

unterschiedlich. für mambo siehe http://www.mamboserver.com/ und auch http://de.wikipedia.org/wiki/Mambo_(CMS) (insbesondere die abspaltung einiger entwickler zum joomla!-projekt ist interessant), für drupal siehe http://drupal.org/


wie ich gerade sehe, hatte mambo auch schon mit massiven angriffen durch einen wurm zu kämpfen: http://www.heise.de/newsticker/meldung/67006

gute idee.

Zitat von »kuehlreactor«

Die index.php ist definitv unangetastet. Die mainfile.php scheint auch original zu sein, jedenfalls enthält sie nicht das Wort "turkish".
Ich werd bei nächster Gelegenheit alle Dateien runterladen und und sie nach dem Wort "Powercobra" scannen, um die geänderten Dateien zu finden.

edit: Geistesblitz: Vorher werde ich mir die Datei anschauen, wo der MetaTag generiert wird.

Eventuell wird auch nur eine Datei von einem entfernten Server via fopen eingebunden. Wenn du dich mit PHP nicht wirklich auskennst, lass doch mal jemanden über die Seite gucken, der sich damit auskennt. Der wird den Fehler sicherlich schneller finden können als du

sag ich doch, dass da nur was ein eine datei reingeschrieben wurde.

tipp: passwörter ändern bietet sich auch an. den hoster hast du ja hoffentlich schon unlängst benachrichtigt.