carino il link che hai postato, mi avrebbe fatto risparmiare un po' di tempo... :-)
Peccato che in modo automatico arrivi a decodificare solo il primo livello... modificando il file dopo la prima decodifica però è possibile farlo praticamente alla fine.
Per quanto riguarda l'origine delle modifiche "pirata" alle tue pagine di solito le cause possono essere raggruppate nelle seguenti categorie.
1) furto di credenziali ftp dopo aver fatto l'upload dei file sul sito da un pc infetto.
Soluzione: ripulire i pc usati per l'upload e cambiare le credenziali
2) uso di script lato server vulnerabili. In questo caso il pirata potrebbe essere in grado di usare tali vulnerabilità per caricare codice sul server.
Soluzione: aggiornare gli script o correggere manualmente le falle.
3) server vulnerabile o scarsamente protetto. Questo aspetto è responsabilità dell'hoster. Costituisce sicuramente la casistica meno frequente ma non è da escludere ed è già successo. Può essere una vulnerabilità del server stesso o delle impostazioni che permettono, ad esempio, l'accesso cross-domain al filesystem negli hosting condivisi.
