Option 3: Eine SQL Injection Attacke. Irgend eine Funktion des Blogs oder des Forums lässt SQL in url-parametern oder POST-Daten 1:1 an die Datenbank durch, ohne das zu escapen.
Bei MySQL ist es relativ einfach das password des aktuellen Users zu ändern: SET PASSWORD = neuesPw. Das kann man sehr einfach unterjubeln wenn eine Software SQL Injections zulässt.

Um das herauszufinden schau einfach mal in die Http-Logs und suche dort nach "SET PASSWORD".

Ok, das wäre noch eine Möglichkeit. Und per MySQL kann man auch das Passwort der Datenbank ändern?

Schau mal hier:https://dev.mysql.com/doc/refman/5.0...-password.html

Es ist leider nicht mein Webspace. Und angeblich wurde schon mit dem Support von 161 gesprochen. Das Passwort vom Controlcenter wurde mittlerweile geändert und dass vom FTP-Zugang auch. Trotzdem wurde das DB-Passwort wieder geändert ohne unser Zutun.

Ich hatte dann den Ordner umbenannt und die Subdomain auf den neuen Ordner umgeleitet. Wieder wurde das DB-Passwort geändert. Dann habe ich eine neue Subdomain angelegt und auf den Ordner zeigen lassen. Wieder wurde das DB-Passwort geändert. Erst als ich den Ordner mit einem htaccess Passwort geschützt habe, fanden keine Änderungen mehr statt.

Ich muss mal sehen, ob ich im Controlcenter irgendwo die HTTP-Logs finde.

Hallo Luckie,

im Control-Center findest du die nicht. Du mußt via FTP auf den Webspace.

Ich kann in den Logdateien der letzten Tage und von gestern, wo es ja auch passiert ist, leider kein "SET PASSWORD" finden.

Wie umfangreich ist denn die Installation auf dem Webspace? Hast Du eine Chance, nach "fremden" PHP-Skripten zu suchen? Sei es über das Datei-Datum, Datei-Rechte?
Möglicherweise hat jemand sein Script auf Deinem Webspace abgelegt.

Gibt es eigentlich außer dem DB-Passwort noch andere Symptome? Das allein erscheint mir etwas mau. Ich verstelle ja nicht ein DB-Passwort, nur um wen zu ärgern. Normalerweise will ich ja die Kontrolle über die DB übernehmen und z.B. Daten abgreifen.

@Lucky:

1. Hast du mal bei 1&1 nachgefragt? Wenn es ein Angriff ist, bemerken vielleicht auch andere User derartige Merkwürdigkeiten.
2. Kannst du herausfinden, welches Passwort da immer neu gesetzt wird? Oder anders gefragt: Ist es immer dasselbe Passwort?
3. Hast du dein Passwort für den Zugang zum ControlCenter bereits geändert? Wenn ja, kann eigentlich nur jemand von 1&1 intern Zugriff darauf nehmen, womit wir wieder bei #1 wären ...

Es soll in der Tat Menschen geben, die Vertrauen mißbrauchen. Jawoll!