Gehackt en span class

Ik verwacht eigenlijk een handige oplossing maar blijkbaar is het niet mogelijk.

Klopt.
Het op weg helpen is je gegeven in bericht #2

Alles gedaan wat in bericht 2 stond behalve een backup terug zetten. Deze heb ik niet tenminste niet zonder deze gehackte versies. Resultaat blijft dat in zo wat elke pagina de span class staat. (de meeste onzichtbaar op de website en alleen via de broncode zichtbaar)

Is het niet mogelijk om een span class te verwijderen ergens?

Er is geen quick fix voor het verwijderen. Waarschijnlijk gaat het hier om base64 code, die niet herkenbaar is als span. Enige wat je nog kunt proberen zijn mijn laatste 2 suggesties uit #7.

Ik heb een php script aangemaakt en krijg bijvoorbeeld deze meldingen:

./libraries/kunena/external/lessc/lessc.php -> contains preg_replace
./libraries/kunena/controller.php -> contains HTTP_REFERER
./libraries/legacy/request/request.php -> contains $_REQUEST[
./libraries/rokcommon/RokCommon/Header/Wordpress.php -> contains create_function(
./libraries/rokcommon/RokCommon/Browser.php -> contains HTTP_USER_AGENT

Dit is slechts een zeer klein gedeelte. Het meeste komt voor zijn: contains preg_replace

Maar nu houdt mijn kennis op. Wat kan ik aan deze php bestanden aanpassen?

Edit Jelle. Ik heb het citaat tussen quotetags geplaatst, volgende keer graag zelf doen.

Ik heb ook wel wat gevonden in php bestanden zoals:

Maar hoe herken je nu wat een gehackt bestand is?

Edit Peter: Ik heb de code tussen codetags geplaatst, volgende keer graag zelf doen.

Zo niet in ieder geval. Als ik zou zoeken dan zou ik eerder zoeken naar:

Op de zoekopdracht eval(base64 heb ik 5 bestanden gevonden: 2x een jpg bestand en 3x een php bestand. De foto's heb ik inmiddels verwijderd. En de 3 php stonden in de map tmp en zijn nu ook verwijderd. Het betreft een installatie van een module chronocontact die ik in een vorige versie had geïnstalleerd. Deze module gebruik ik niet meer. De gehackte melding blijft nog wel steeds zichtbaar in de broncode. Wat kan ik nu proberen?

Als de melding nog zichtbaar is in de broncode, geeft dat mij een idee dat nog niet alles gezuiverd is. Heb je misschien. Google analytics aan je site "gekoppeld"?

Zo ja dan kun je de Google techniek om je site te indexeren ook gebruiken. Bij eventuele verdachte files, geeft Google dan een melding. WEL is het zo dat Google ook kan besluiten je site op "zwart" te zetten. Althans een melding bij de zoekmachine dat jou site verdacht is.