Pues vamos a demostrar a esos lotuseros que se equivocan..
Revisa estos hilos, porque el ataque parece bastante similar a varios de ellos:
http://moodle.org/mod/forum/discuss.php?d=116174
http://moodle.org/mod/forum/discuss.php?d=129520
http://moodle.org/mod/forum/discuss.php?d=137800#p601501
Citando a Iñaki Areaza, uno de los desarrolladores de Moodle:
"
El problema es que buena parte de las veces (la mayoría, me atrevo a decir) no es tanto de Moodle, como del conjunto del sistema: seguridad del sistema operativo del servidor, configuración de los permisos de la zona web (y no sólo de la parte de Moodle), configuración y seguridad de otras aplicaciones web que estén corriendo en el mismo servidor, el que estemos usando módulos o plugins de terceros que no han pasado una auditoría de seguridad para ver si son robustos, etc."
Parece que lo que han hecho es modificar el contenido físico del fichero index.php o tal vez del pie de página (footer) del tema de apariencia. En estos casos, suele ser cosa de permisos o usuarios propietarios de los archivos implicados, además de que posiblemente no se hayan tomado las medidas de seguridad adecuadas a nivel de servidor.
En resumen, que en principio tu desde moodle no puedes modificar el contenido de dicho archivo, por tanto parece cosa de un acceso no autorizado. Que comprueben los registros del sistema y la base de datos para intentar averiguar que ha ocurrido. Por lo pronto, yo deshabilitaría el acceso para invitados en Moodle (
no es un agujero crítico, pero ayuda a descartar posibles problemas)
P.D: no des mucha caña a tus informáticos, que no conviene tenerlos en contra..