Взлом Joomla! 3.6.5 - Безопасность сайтов на Joomla

Здравствуйте, гуру кода! 
На днях хостер таймвеб заблокировал мне отправку почты с акка, мотивировал это тем, что я спам рассылаю.
Посмотре логи - точно спам. Но как? Единственно, что нашел - этот файл в директории /public_html/components/com_content/helpers/user.php
И ещё. RSFirewall нашел такие косяки: см вложение
Как это побороть? Можно ли удалить только base64 или файл нужно удалять?

И вообще, нужна ли эта директория Joomla, если да, то что там должно быть? Если нет, видимо вируснёй создана? значит, можно удалить?
Помогите, пожалуйста!

просто удалить мало. нужно искать и устранять дыру, через которую залезли.

Поступил радикально, убил все файлы сайта и базу и восстановил из бэкапа годовалой давности, поменял ВСЕ пароли (ftp, админка, пароль на sql базу) и спрятал админку. Но видимо, это было и год назад, хотя спам попер 18.01.2017...

Хостер просто отказывается запускать почту, пока это не удалю, а я не знаю ЧТО удалять... Файл? Часть кода? Дыры-то закрыл вроде. Почти год небыло проблем, и этот косяк там был. Я не знаю, какие косяки мне злые хацкеры впендюрили для спама пол месяца назад, так как рабераться не стал, снес всё и восстановил бэкап...

Поступил радикально, убил все файлы сайта и базу и восстановил из бэкапа годовалой давности, поменял ВСЕ пароли (ftp, админка, пароль на sql базу) и спрятал админку. Но видимо, это было и год назад, хотя спам попер 18.01.2017...

И какая же версия на бэкапе годовалой давности?
Можно было б просто рассылку по хакерам сделать..

Дыры-то закрыл вроде.

каким образом? восстановив из бекапа? этим вы не только не закрыли дыры, а еще и новые скорее всего открыли. вам нужно проводить лечение сайта, и обновлять все компоненты системы до последних версий.

Спойлер

[свернуть]

боюсь без видео уже многие и не поймут что это

каким образом? восстановив из бекапа? этим вы не только не закрыли дыры, а еще и новые скорее всего открыли. вам нужно проводить лечение сайта, и обновлять все компоненты системы до последних версий.

Всё обновил до последних версий сразу же после восстановления, плюс поменял ВСЕ пароли (ftp, админка, пароль на sql базу) и спрятал админку.

И какая же версия на бэкапе годовалой давности?

Спасибо, Вы очень помогли.

сразу же после восстановления

от какого числа был бекап и какая там была версия Жумлы?

backup-24.07.2016-04.tar, версию не помню,  но по дате примерно какая была?

3.5.1 вроде

По дате получается 3.6 Вообще беда... а где в файлах бекапа можно посмотреть версию?

сейчас все снова снесите, перед разворачиванием и обновлением сайта заблокируйте доступ к домену для всех IP, кроме вашего (на всякий случай).

поставьте это https://github.com/lucanos/Tripwire настроив в cron сканирование каждые 3 часа и отправку вам письма об изменениях.

тем самым облегчите себе задачу поиска причины, когда взломают опять (если взломают). убедитесь что включены логи доступа и ошибок.

а где в файлах бекапа можно посмотреть версию?

\administrator\manifests\files\joomla.xml

Опять наш любимый таймвеб...

Менять пароли там, где куча народа шарится в системных файлах, имхо - занятие минимум бесполезное. Кроме того, если вам год назад залили вредонос на сайт, то он там так и сидит, во всех бекапах. А если варезные расширения ставили, например шаблон, то нет вам смысла обновлять. Если там есть посетители и сайт приносит хоть немного денег, я бы на вашем месте вложил их в аудит безопасности либо на модернизацию сайта.

Всё обновил до последних версий сразу же после восстановления, плюс поменял ВСЕ пароли (ftp, админка, пароль на sql базу) и спрятал админку.

Такие свистопляски помогали максимум на сутки. В итоге, пришлось обращаться за платной помощью, так как я в этом ни бум-бум.
Лучше не тяните время, а ищите, кто поможет. В моем случае промедление аукнулось проседанием позиций и полному вылету из индекса мобильного Яндекс. Возвращение было долгим - почти 2 месяца.