sono daccordo con andr3a, ma ero curioso e ci ho dato un occhiata, in pratica lo script, se non corrotto, dovrebbe fare l'injection di un iframe con un url ad un sito .cn (e già questo mi fa pensare....) se poi consideri che il sito passa come DNS i server di editdns.net (che è una società con sede legale e fisica in USA) direi che è una cosa un pelo illegale...

Io non solo lo cancellerei, ma mi interrogerei anche su come lo script sia finito nella tua intranet, soprattutto perché il suddetto sito è stato registrato il 27 Marzo scorso, quindi è una cosa recente.

Mi sa che fai meglio a dare un occhiata alle bug di egroupware e magari vedi di aggiornare la versione che usi, sempre che non sia un baco non ancora scoperto.

Inoltre, dovresti vedere come sono entrati nella intranet, dato che DOVREBBE essere chiusa dall'esterno (senno perché la chiami intranet).

In ogni casi in ti raccomando di disinstallare TUTTO e rifarlo da zero (magari tieni i log e controlli chi ha fatto cosa, dall'esterno).