Взломали, сайты рассылают спам! Нужна консультация - Безопасность сайтов на Joomla

Приходит от саппота хостинга такое сообщение - 

Блокировка функции отправки почты ............ Здравствуйте, нам пришлось заблокировать функцию отправки почты с вашего сайта y , в связи с рассылкой с вашего акаунта спама .

.

В первый раз логи показали на один сайт (на этом хостинге их 7) в папку media/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2 тут нашел несколько файлов подозрительных (измененных или созданных 1 день назад) я их по удалял, сменил пароли к хостингу и сайту и попросил включить опять.

На следующий день меня опять заблокировали!

Вот лог отправки спама


Уже два других сайта!

Что делать?
1. Значит есть возможность восстановить их резервные копии до взлома.
2. Либо можно их как то почистить.
3. И к знатокам - Через какую уязвимость они смогли это сделать и как защитить сайты от повторного взлома после восстановления?


Заранее большое спасибо!

2. Либо можно их как то почистить.

можно

3. И к знатокам - Через какую уязвимость они смогли это сделать и как защитить сайты от повторного взлома после восстановления?

экстрасенсы все уже на пенсии

Восстанавливайте с резервной копии, с последующей чисткой.
Список уязвимостей- http://docs.joomla.org/Vulnerable_Extensions_List
Любое не обновленное расширение может быть с уязвимостью.

Надо чистить. Можно воспользоватся скриптами с темы в моей подписи.

Спасибо, резюмирую.

1. Восстановить сайты до взлома.

2. Обновить все не обновленные расширения.

3. Проверить на наличие уязвимостей. (выбрал сканер AI-bolit)

4. А вот тут вопрос Устранение уязвимостей

Вот результат работы сканера:


Удалять все что здесь написано будет неверно, но я понимаю что calback качал бог весть откуда и надо удалить из его файлов подозрительный код или удалить вообще. А вот Joomshoping и Cronoforms Был скачан с офф сайта и ничего плохого быть там не должно, его не трогаем?
Сложнее с остальными т.к. установка была с квикстарта в сайте могут быть зашиты еще какие-нибудь неприятности.

Так вот вопрос решается ли проблема уязвимости удалением показанной мне айболитом строчки. И я понимаю, что для того чтобы здесь разобраться нужны знания php, но есть ли какое нибудь общее решение как отличить вредоносный код от нормального.
И по лечению, например удалить в показынх сканером файлах все упоминания о base64_decode.

5. На обновленный и почищенный сайт применить рекомендации по обеспечению безопасности Joomla благо которые подробно описаны.

но есть ли какое нибудь общее решение как отличить вредоносный код от нормального.

Проверить файлы, выданные в результате сканера, на соответствие файлам из дистра Joomla твоей версии

спасибо, все гениальное просто , с JoomShopping и k2 так же можно поступить.