Взлом J! 1.5.22 - Безопасность сайтов на Joomla

Сегодня обнаружил что взломали один из сайтов. Взломали давно, около месяца назад. На главной не грузился шаблон (только текст) на остальных страницах - бесконечная переадресация. Логов доступа, разумеется, уже нет.
Порядок взлома:
Каким то образом получили доступ к директории сайта
Далее залили два файла

Обнаружены новые изменения 28/02/12 00:00:12:
Новый:  /public_html/site/index.php
Новый:  /public_html/images/f.php

В images залили f.php и создали папку site с index.php - тоесть внедрили shell.
Был отредактирован .htaccess - к сожалению не сохранился.
Далее, примерно через неделю, появился файл /images/stories/index.php и, там же, .htaccess

Обнаружены новые изменения 05/03/12 12:00:26:
Новый:  /public_html/images/stories/index.php

Содержание index.php
Содержание .htaccess
Файлы /public_html/site/index.php и /public_html/images/f.php после всех манипуляций удалили, поэтому содержание неизвестно.

Соседние сайты не пострадали.

Joomla! 1.5.22
Phoca Gallery 2.7.4
Akeeba Backup 3.2.7
JComments 2.2.0.10
Xmap 1.2.10

если не vps/vds с разделенными правами на сайты ip/user/папки, а все набросано в одну папку то проверь соседей на наличие sheel он может быть другим не таким как на этом сайте

перед тем как удалить файлы новые - запомните дату их создания и в логах апача ищите обращения в эту секунду, тогда и поймёте через что залили

перед тем как удалить файлы новые - запомните дату их создания и в логах апача ищите обращения в эту секунду, тогда и поймёте через что залили

Залили 28 февраля. И сразу видимо удалили. Логов, естественно, такой давности нет. Не VDS, обычный шаред.

есть две засады даже на vps/vds
если фронт обрабатывает ngixt и работают с фронта, то IP будут серверные
пачем можно увидеть как доступ к админке нашли, и опять не всегда правильная информация бывает, а логи и почистить могут не во всех случаях но можно

Регистрация пользователей на сайте открыта? Пароли у администраторов не изменились? Я бы попробовал сменить права на файлы, чтобы если еще раз попытаются в логах это отразилось ошибкой. Кроме того, я бы сделал полный снимок сайта и сравнил бы его с бекапом январским допустим. Или, с чистой 1.5.22... На предмет каких-то изменений в самом ядре.

Сайт, можно сказать, бесхозный. Клиент его давно забросил, висит себе, есть не просит. Собственно потому и не следил за ним пристально. Регистрация закрыта, пароли не сменились.
Изменений, кроме вышеперечисленных мной, не было. Использую Eyesite - компонент мониторинга изменений в файловой системе сайта - выставил ежедневную проверку по крону и отправкой результатов на мыло.