HTTP-модуль жулика (в IIS), или независимо от того, что эквивалент для апача, мог предварительно ожидать, добавить или возможно даже изменить содержание для любого Запроса HTTP, даже для статических файлов. Это предположило бы, что сам сервер был поставлен под угрозу.
Править: Если Вы сообщите нам, какой веб-сервер Вы используете, мы сможем сделать более определенные предложения для поиска и устранения неисправностей.
Вы служите какому-либо содержанию от базы данных SQL? Возможно, что компромисс был атакой с использованием кода на SQL, и Ваш контент сайта в базе данных был заменен/исправлен этим сценарием/тегом.
Будет ли это как-то связано с .htaccess?
php_value auto_append_file /server/path/to/my/www_root/subdir/file.ext"
Не удалось автоматически прикрепить файл в нижней части документов. Хотя, если вы не можете идентифицировать файл с этим JS, я думаю, это маловероятно. Вы когда-нибудь выясняли, как они могли это сделать?
Вы позволяете какой-либо ввод HTML от пользователя? Возможно, это - что-то, что не фильтровано правильно.
Я советую вам взглянуть на ваши файлы журналов. Каждый доступ через Интернет должен быть зарегистрирован там.
Вы уверены, что использование не локально на Вашей машине, и что-то локальное вводит HTML в Ваш webbrowser, который затем заставляет Ваш brower выполнять JS?
Выполните надежное локальное использование сканирования Spybot и предпочтительно NOD32. Если Вы не хотите устанавливать NOD32, потому что он мог бы конфликтовать с Вашим текущим AV, можно использовать Жало, которое является сканером AV, который работает как программа и не вмешается или потребует перезагрузки.
Также выполните сканирование на веб-сервере. Я также вижу, что люди отправляли об этом на других форумах как здесь.
Около года назад мы столкнулись с похожей проблемой с одним из наших клиентов.
Оказалось, что клиент использовал FTP-клиент, который сохранял пароли в открытом виде, и система была заражена вирусом, который специально сканировал систему на наличие этих файлов паролей, чтобы перезаписать исходный код сохраненных в файле хостов.
Для получения дополнительной информации также обратитесь к http://blog.unmaskparasites.com/2009/12/23/from-hidden-iframes-to-obfuscated-scripts/. Вы найдете это очень похожим на проблему, с которой вы столкнулись.
Решение для нас заключалось в том, чтобы рекомендовать нашим клиентам не сохранять пароли и не использовать FTP-клиенты, которые сильно шифруют пароли.