На Вашем аккаунте онаружено вредоносное программное обеспечение - Безопасность сайтов на Joomla

Здравствуйте, получил сегодня от хостера письмо:

На Вашем аккаунте онаружено вредоносное программное обеспечение

{HEX}base64.inject.unclassed.7 :  : /var/www/____/data/www/мойсайт.ru/logs/jhackguard-log.php


Проверил jhackguard-log.php Notepad++ и нашел за разные даты:


2013-01-21T09:13:49+00:00   CRITICAL   jhackguard   Changed POST value from:<?php
                                                                                                                                                                                                                                                                        eval (base64_decode($_POST["php"]));
                                                                                                                                                                                                                                                                        ?> to:<?php
                                                                                                                                                                                                                                                                        eval ($_POST["php"]));
                                                                                                                                                                                                                                                                        ?>

и

2013-02-18T16:07:23+00:00   CRITICAL   jhackguard   Changed POST value from:<?php
                                                                                                                                                                                                                                                                        eval (base64_decode($_POST["php"]));
                                                                                                                                                                                                                                                                        ?> to:<?php
                                                                                                                                                                                                                                                                        eval ($_POST["php"]));
                                                                                                                                                                                                                                                                        ?>

Это все я нашел в файле /logs/jhackguard-log.php, я так понимаю заражения? Тогда вопросы:

1. Скачал базу и не нашел поиском notepad base и eval в самой базе, вроде должны быть если залили код?

2. Я могу восстановить только базу из резервки или были затронуты также файлы сайта? или наоборот только файлы заразились?

3. Был ли это взлом через панель или как то иначе?

Тупой хостер. Не написал хостер еще, что забанит акаунт?

Почему тупой? reg.ru

ПО теме может кто-нибудь помочь.

Да просто очисти файл логов.
А искать не в БД, а по файлам сайта, вставку кода eval (base64_decode($_POST["php"]));
ну и base64_decode

Дак это было заражение или плагин отразил атаку?

Поиск в файлах  по фразе

eval (base64

не дал результатов (не считая файла логов плагина)

по фразе

base64_decode

нашел 19 файлов, это значит они все заражены?

Проверил по фразе

base64_decode

только что созданный архив с сайтом, теже 19 файлов нашел

В папке спас моей почты обнаружил четыер письма по датам: 19, 21, 21, 27 этого месяца. Прошу помощи подскажите, меня взломали и рассылают спам? И можно ли определить из письма с какого именно домена на аккаунте хостинга рассылается спам?
X-PHP-Script: nedvigimost-ug.ru/index.php - у меня нет такого домена.

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  zhangjgybea@sina.com
    SMTP error from remote mail server after MAIL FROM:<homelux@gmail.com> SIZE=2214:
    host freemx.sinamail.sina.com.cn [202.108.3.242]:
    553 Envelope sender <homelux@gmail.com> rejected

------ This is a copy of the message, including all the headers. ------

Return-path: <homelux@gmail.com>
Received: from c381189 by h4.cloudtec.ru with local (Exim 4.80)
   (envelope-from <homelux@gmail.com>)
   id 1UHzuE-004M32-Bm
   for zhangjgybea@sina.com; Tue, 19 Mar 2013 21:00:58 +0400
To: zhangjgybea@sina.com
Subject: Account Details for la7rjh at Site
X-PHP-Script: nedvigimost-ug.ru/index.php for 27.159.235.225, 27.159.235.225
Date: Tue, 19 Mar 2013 21:00:58 +0400
From: Site <homelux@gmail.com>
Reply-To: Site <homelux@gmail.com>
Message-ID: <b8aee5c4245ef2a82fa4284e14aced76@nedvigimost-ug.ru>
X-Priority: 3
X-Mailer: PHPMailer 5.2.1 (http://code.google.com/a/apache-extras.org/p/phpmailer/)
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="utf-8"

Hello la7rjh
,

Thank you for registering at Site. Your account is created and must be activated before you can use it.
To activate the account click on the following link or copy-paste it in your browser:
http://nedvigimost-ug.ru/index.php?option=com_users&task=registration.activate&token=224aa5df3b00b04cd6007a1615b1e310

After activation you may login to http://nedvigimost-ug.ru/ using the following username and password:

Username: la7rjh
Password: Fpbp134utK

по датам: 19, 21, 21, 27 этого месяца.



Прошу помощи подскажите, меня взломали и рассылают спам?