La cause la plus probable de l'infection est l'injection SQL ou le cross site scripting. Vous savez probablement déjà ce que c'est, mais juste au cas où...
Le XXS ou "cross site scripting" se rencontre le plus souvent lorsqu'un site permet à un utilisateur de télécharger du contenu sur une page (disons sur un forum ou une section de commentaires ou autre) sans vérifier et valider le contenu - ou peut-être en vérifiant et validant mal le contenu. Ainsi, un utilisateur mal intentionné télécharge son HTML / JS dans un commentaire et la personne suivante qui consulte le commentaire exécute le script.
SQLi (et je parierais sur celui-ci) est l'endroit où un utilisateur malveillant envoie un SQL exécutable avec des paramètres d'URL ou de FORM (ou de cookie). C'est le cas le plus fréquent lorsque quelqu'un utilise des "ids" numériques - disons ?news_Id=4 pour une nouvelle - et que la BD est configurée pour des déclarations multiples. Les programmeurs négligents permettent au paramètre URL de passer directement à la base de données sans le qualifier de nombre... quelqu'un peut donc mettre quelque chose comme ?news_id=4 ; update tableA set title=..... vous voyez l'idée. Les attaques SQLi peuvent être vraiment délicates et impliquer l'exécution d'hexagones codés évalués et autres.
On peut donc supposer que quelqu'un a une requête non protégée qui est exécutée par SQLi - et qui ajoute ce JS à un contenu qui est affiché sur la page.
Quant à l'exploit lui-même. J'ai vu des exploits de ce genre, mais pas celui-ci en particulier. C'est très intelligent, c'est le moins qu'on puisse dire. L'obscurcissement du nom de domaine est assez unique parmi les exploits que j'ai vus. Pourtant, c'est BEAUCOUP de JavaScript à essayer de charger dans une colonne de caractères.
