Нашол немного информации в интернете про домен ui5nvtxlm.ru на который и ссылается взломаные сайты по методу КросСайтСкриптинг а имено вставки кода Java(JSON,JS) на сайте и подстановки iframe который видимо обрабатывает ворованные куки (coockie) .

Сайт который поевился в чужих кодах на некоторых сайтах ui5nvtxlm.ru .. Многие ломают голову как быть с этими хакерами ! 

Думаю нармальное решение это защитить сайт от отправки javascript и ещё от всатвки iframe - тогда будет намного больше шансов что данные пользователей и администрации никто не узнает .

Удалось их победить?

с тех пор как залатали часть сайта - больше данных товарищей не видел..)