UNAの穴を塞ぎましたが別の穴がある本家が今後も狙われるのでその余波があります。
スクリプトを仕込まれなくてもファイルを盗まれたり操作されるのは変わりません。
セキュリティ対策は、以下のものを行なってください。
・認証をかける
・インストールパスを変える
　ディレクトリ名を変えたりディレクトリ構造を深くして推測し難いものにしてください。
　その際に空のindex.htmlを置くなどホームディレクトリ以下の不可視処置を忘れずに
・ポートを８０番以外にする
外部公開する場合、ただ認証をかけるだけでなく「インストールパスを変える」「ポートを８０番以外にする」を同時に行うことにより被害はほぼ皆無になるでしょう。

また do-record.shと gen-thumbnail.shの "$OUTPUT"・"$THUMB"を ${OUTPUT}・${THUMB}に変更している場合は、そこがセキュリティホールとなりますのでご注意ください。

あと公開時の更新内容に記述しませんでしたが2013/12/29版から ./settings/config.xmlを
/etc/epgrecUNA/config.xmlに移動させる事ができます。
初回起動後に手動で移動させてください。
この作業を行うことで外部から config.xmlを見られなくなり MySQLのパスワードを盗まれるのを防げます。

[今後の予定]
WANからの無認証アクセスを受け付けないようにするつもりです。