Взломали Joomla 1.7 - Безопасность сайтов на Joomla

Взломали сайт на Joomla 1.7, причём уже не первый раз. И всё по одному сценарию - вместо index.php что-то типа "Поздровляем, ваш сайт хакнули!". Первый раз подумал на пароль админа. Хозяин сайта, чтобы не напрягать память в качестве него установил число "два". К тому же в логах было зафиксировано 2-3 десятка неудачных авторизаций (как-то долго подбирали). Ещё в админке был замечен аплоадер, который через некоторое время куда-то исчез. Поменял логин и пароль на более сложные. Через полгода опять тоже самое. Кроме очередной смены пароля больше ничего не производилось. Потом это повторилось ещё через нескольколько месяцев, неделю назад. Начал принимать меры. В папке images был обнаружен бэкдор, который антивирь с радостью скушал. Закинул в эту папку htaccess с запретом на запуск php-шников. Отключил пару неиспользуемых дополнений (кстати в одном из них нашёлся очередной бэкдор). Обновил Joomla с 1.7.0 на 1.7.5. Проверил права на папки. На сайте зачем-то присутствует регистрация, хотя она не нужна. В логах обнаружил, что почти каждый день кто-то пытается зайти под несуществующим логином. Интереса ради, установил уведомлялку (Login Failed Log) о таких случаях мне на e-mail. Не успел я закончить работу по дезактивации, через несколько дней опять сменили index.php. Уведомлялка ничего не присылала. Просканил на вирусы, результат таков:

modules/mod_acepolls/helper.php - PHP/C99Shell.W (по мнению Dr Web-а: PHP.Rst.5)
modules/mod_system/mod_system.php - PHP/Rst.AK (по мнению Dr Web-а: PHP.Shellbot.49)
1/tmp/header.php - PHP/Rst.AK (по мнению Dr Web-а: PHP.Shellbot.49)

Поскажите как почистить сайт и заткнуть все дыры?

Для начала обновитесь до версии Joomla 2.5.14, после этого обновите все расширения до актуальных версий (из официальных источников). Здесь на форуме есть сканеры для обнаружения разной заразы, воспользуйтесь ими самостоятельно или обратитесь к специалистам.

На сайте зачем-то присутствует регистрация, хотя она не нужна

Отключить пробовал? Также проверь права у зарегистрированных.

Отключить пробовал? Также проверь права у зарегистрированных.

Надо же, у нас на сайте целых 7 администраторов, с подозрительными логинами и email-ами. Мне очень интересно узнать, как они смогли под админами зарегаться? Всех отключил и модуль входа заодно.

Для начала обновитесь до версии Joomla 2.5.14

А есть какая-либо толковая инструкция по переезду с 1.7 на 2.5? Или проще чистый движок 2.5 поставить и закидывать в него нужные компоненты и контент?

у них есть доступ к базе.

А есть какая-либо толковая инструкция по переезду с 1.7 на 2.5? Или проще чистый движок 2.5 поставить и закидывать в него нужные компоненты и контент?

Судя по всему Вам проще заново поставить чистую систему, исключая при этом варезные шаблоны и расширения! Используйте только официальные сайты. Насчет обновления с 1.7 на 2.5 думаю что в Вашем случае это не лучший вариант, так как системные файлы явно напичканы гадостью. Если же информации на сайте много, то сделайте бэкап сайта полностью и начните чистить, но лучше все же перейти на линейку 2.5 так как 1.7 была переходным вариантом и больше не поддерживается, кстати большинство расширений и шаблонов этих движков совместимы.

Построил сайт на новом движке (2.5.14), компоненты брал только с офф. сайтов самых свежих версий, всё ненужное старался от греха подальше отключить, прописал в htaccess запрет на досутуп в админку с других ip-адресов, сменил пароль на БД. И всё коту под хвост! Сегодня целый день сайт не коннектится к бд (через myadmin тоже пробовал). Есть веские основания полагать, что кто-то сбросил пароль. Хостинг не мой, восстановить пароль нужно просить другого дядю. А потом будет та же фигня? У детей каникулы что-ли? Школяра развлекается? Меня это начинает злить. 

При сравнении с бекапом, посторонних изменений не обнаружил.

Построил сайт на новом движке (2.5.14)

Самое время обновиться до версии 2.5.16 , и проверьте файл  configuration.php  в строке public $password = 'Тут должен быть пароль от базы данных'; если изменили проверьте идентичны ли они!