Weiterleiten beim einloggen ins Backend zu Werbeseiten

    Ich betreibefür einen Freund die Seite www.hardy-moto.de (liegt bei 1und1 und ist mit einer Instantinstallation der aktuellen 3.x gebaut). Seit heute habe ich folgendes Verhalten: wenn ich mich als Admin ins Backend einlogge, erscheint dieses kurz und dann werde ich sofort zu irgendwelchen werbeseiten weitergeleitet. wenn man ESC drückt, dann erscheint eine Weiterleitung über digitalzoo.me und man landet auf irgendwelchen Werbeseiten.


    Gleiches Verhalten auf unterschiedlichen Rechnern und Browsern.


    Beispielsweise


    data:text/html,<html><meta http-equiv="refresh" content="0; url=http://digitalzoo.me/process/route/2620676520.html?refresh=non-ie&bl=0"></html>


    oder


    data:text/html,<html><meta http-equiv="refresh" content="0; url=http://digitalzoo.me/process/route/2621366135.html?refresh=non-ie&bl=0"></html>

    Schau auch gleich mal in die Benutzer, ob bspw. welche in Benutzergruppe "Administrator" dabei sind. Aber auch andere Gruppen außer Registrierte.


    2 wichtige Dinge, die zu oft nicht gemacht werden:
    Bevor du irgendwas löscht/änderst, mache ein Backup der gehackten Seite (am Besten mit einem Tool aus dem Backend heraus, falls eines installiert) und verwahre es sicher. Frage SOFORT beim Provider an wegen Log-Dateien (Access-Log und FTP-Log). Alle verfügbaren ebenfalls aufheben.

    Backup läuft automatisch und nach ewigem Gefummel konnte ich auch die aktuelle Version einspielen. Benutzer sind nur die drei vorgesehenen da. Wo ich jetzt noch suchen könnte, wüsste ich nicht direkt. Von der Systemseite (KOntrollzentrum) aus ist immer noch die Weiterleitung aktiv, bei allen Unterseiten nicht.