Danistone:
Mi recomendacion es que debes buscar y encontrar por donde entro este hacker, ya que a mi me paso lo mismo y detecte como ocurrio y como logro hacer todo eso.
1.- Busca uno de los archivos modificados y determina cuando fue modificado por ultima vez.
2.- Busca los logs (Acceso y Error), especialmente del apache y trata de ubicar que IPs entraron a tu sitio en o alrededor de esa misma fecha, hora y minuto.
3.- Observa si hubo algun POST desde Internet.
Nota : Esto te dara como y donde ingresaron.
4.- Busca la IP que corresponde al sitio "onlinestat.cn" y utiliza algun conrtafuego
para bloquearlo totalmente, ya que cada vez que ingresan a tu sitio manda señales hacia ese sitio.
5.- Eso se llama Cross Site Scripting y te recomiendo que visites desarrollo web que tienen un buen tutorial de como remediar este asunto.
6.- Asimismo, por estas razones es que debemos poner en Internet unicamente aplicaciones profesionales; y aun asi muchas veces fallan.
7.- Finalmente, te debo decir que si ese hacker hubiera deseado destruirte tu sitio lo hubiera podido hacer, asi es que debes solventar eso validando todas y cada una de las formas que tus usuarios tienen posibilidades de enviar datos a tu aplicacion.
8.- Termino diciendo que la cantidad de sitios web "defaced" o que le hacen lo que a ti te ha pasado andan por el orden de miles por dia.
Saludos
Y espero te ayude
Franco
9.- Algunas veces he visto en este foro, usuarios que quieren instalar servidores de correo sencillos y no profesionales y esa actitud es una invitacion a que te lo secuestren y debido a todas estas inprudencias es que el mundo del correo electronico se pone cada dia mas y mas dificil.
10.- Esto lo he decidido poner aun cuando este post es del 2005. A alguien le servira!.