Moin!

Wie unser FTP Passwort "gehackt" wurde und was dieser iframe macht ist uns ein Rätsel.
google weiß davon auch noch nichts.

Vermutlich wurde der Angriff über ein unsicheres Skript auf der Website ausgeführt.

Was läuft denn da so an Software? Irgendein CMS, Blog, Bildergalerie? Was selbstprogrammiertes?

Auf jeden Fall solltest du das Logfile der Site analysieren - mit etwas Glück sind dort die verräterischen Spuren nicht verwischt worden, sondern können Hinweise auf den genutzten Angriffsvektor geben. Ebenso ist das Error-Log interessant.

- Sven Rautenberg