<German Text at the bottom>
If these folders always re-appear, you might have a more serious problem. As i don't have details about your server it is hard to say, where the problem exactly lies, but it could be that the Administrator account is compromised, that has access to all the client sites.
The "Hacks" usually consist of an uploaded PHP File, that then downloads an actual payload. The payload has no easy readable code inside, either base64-encoded or a mixture of hex and dezimal values. For WP it would be for example the ini.php. Mostly these exploits are used to control the server and/or to send a ton of spam over it. Check the mail queue of the server in question. If you get a ton of bounces and potentially a mail queue with thousands of mails in it, the server is definitely compromised. In that case each site needs to be checked. There are also many other logfiles available, that can help to identify the problem. This is a very good example, why virtual servers should be running in a jail, so if one gets compromised, the others are safe unless they can be as easily compromised.
Hi, wenn die Ordner immer wieder auftauchen, könntest du ein etwas größeres Problem haben. Da ich aber keine Details über den Server habe, ist es schwer hier etwas genaueres zu sagen. Der Account des Admins könnte kompromitiert sein, der auch Zugriff auf alle Client Home Ordner hat.
Die "Hacks" arbeiten in der Regel so, dass eine Datei auf den Server geladen werden kann, die dann wiederrum einen File Drop runterladen und ihn im System verankern. Das kann auch so gemacht werden, dass man auf der eigentlichen Seite nichts sieht. Schau dir mal die E-Mail Queue der Kunden an. Wenn du tausende Mails in der Queue hast, ist das schonmal ein sicheres Zeichen, dass der Server zum Spammen genutzt wird. Auf dem Server gibt es auch jede Menge Log-Dateien, die weitere Infos beinhalten können. Das ist ein Paradebeispiel, warum man Kundenseiten immer in einer Jail laufen lassen sollte. Somit können andere Seiten nicht "befallen" werden, wenn eine Seite kompromitiert wird. Das Bereinigen eines Servers kann eine recht aufwendige Sache sein, die auch einiges an Zeit in Anspruch nimmt. Der Server muss im Grunde genommen eine recht lange Zeit überwacht werden und evtl. bestimmte Netze blockiert werden. Persönlich filter ich Netzverkehr von bestimmten Ländern raus. Niemand aus China hat zum Beispiel etwas auf meinem Server zu suchen. Und falls es doch mal jemand geben sollte, dann hat er halt Pech gehabt. 99,99999999% vom Traffic sind aber halt nur Angriffe und da habe ich keinen Bock drauf, also werden alle APNIC Netze blockiert.
Wenn du Hilfe benötigst, finden wir sicherlich eine Lösung in Kontakt zu geraten.
Tom