Powersite wird in allen Versionen mit einem Profiscanner auf XSS- Anfälligkeiten und mehr geprüft - das geht natürlich nur für die Standardversion wie ausgeliefert.
Wenn - was eigentlich natürlich ist - weitere Dinge eingebunden werden entzieht sich das der Kontrolle des Programmierers.
Hat man etwas XSS anfälliges eingebunden wird sich ein Schadscript immer in den Teilen verbreiten in denen es Schreibrechte hat und das wäre in dem Fall das tmp - Verzeichnis nebst Unterverzeichnisse.
Da hier konkret die Seiten über Supercache laufen, liegen diese auch vorgefertigt im tmp/cache Verzeichnis.
Schafft ein XSS Angriff es durchzukommen, hat er da ein leichtes Spiel.
Das trifft aber auch auf bereits kompilierte Templates zu.
jede php
Was mich wundert ist das deine PHP Dateien beschreibar waren - CHMOD 644 wäre optimal.
Neben der Suche des XSS anfälligen Teiles hilft eine Absicherung der einzelnen tmp Verzeichnisse mit entsprechender htaccess. Natürlich sind dann sämtliche Dateien im tmp zu löschen um klar Schiff zu bekommen.
Der Rudi hatte vor langer Zeit einen solchen Fall und hat das u.a. damit geregelt.
Er könnte ja mal seine konkreten Massnahmen im Detail beschreiben.
Wenn möglich sollte man einen Blick in die access.log vom Webserver werfen - da haben aber nicht alle User einen Zugriff drauf - im Zweifelsfalle mal mit dem Provider reden.
Die Access.log sieht z.B. so aus:
127.0.0.1 - - [03/Oct/2009:12:09:29 +0200] "GET /ps10/index.php?seite=start&sprache=de HTTP/1.1" 200 291
127.0.0.1 - - [03/Oct/2009:12:09:31 +0200] "GET /ps10/index.php?seite=start&sprache=de HTTP/1.1" 200 291
127.0.0.1 - - [03/Oct/2009:12:10:01 +0200] "GET /ps10/index.php?seite=start&sprache=de HTTP/1.1" 200 291
127.0.0.1 - - [03/Oct/2009:12:10:02 +0200] "GET /ps10/index.php?seite=start&sprache=de HTTP/1.1" 200 291
kann aber auch individuell eingestellt sein, siehe
http://httpd.apache.org/docs/2.0/logs.html#accesslogMan sollte zudem alle Rechner prüfen über denen ein FTP Zugang erfolgte.
Eigene Rechner sind die häufigsten Angriffspunkte überhaupt.
