Нет, сами анализировали обращения скриптов (их мало на сайте) и вручную писали правила.
Было такое. Сайт выпал из мобильной выдачи яндекса после взлома. Удалили код со страниц, устранили, насколько смогли, уязвимости. Поставили CSP. Написали в яндекс, где-то через неделю сайт вернулся в поиск.
Есть еще вариант, что код прописан в файле, не относящемся к CMS. У меня была ситуация, когда код вписали в sape.php. Посмотрите все включаемые файлы на сайте.
Код рекламы может быть записан в зашифрованном виде и расшифровываться функциями javascript непосредственно на странице при выводе в браузере. В этом случае его сложнее найти в файлах или в базе.
В качестве защиты от отображения таких пакостей прикрутите на сайт Content Security Policy.
Зайдите с юзер-агентом или реферером (чаще всего это гугл), с которого виден посторонний код, поищите домен, на который идет переход, поиском по базе. Для поиска достаточно phpmyadmin.
Сайт лучше не откатывать на старые уязвимые версии, а, наоборот, обновить до последней с оф. сайта.
Оптимизация MySQL - задача не на 1 день и одной инфы из mysqltuner будет мало. Многое зависит от структуры самой базы - какие там типы таблиц и сколько. В сети полно гайдов на эту тему.
Замените APC на opcache.
Сделайте апгрейд программы форума и перейдите на PHP 7.
Подумайте в сторону оптимизации (большей оптимизации) MySQL, если стоит 5.5, сделайте апгрейд до 5.6 или поставьте MariaDB.
magellan1, как минимум на время бодания с Платоном, закройте ссылки вообще для незарегистрированных пользователей.
Сейчас при взломе сайтов широко используются два подхода:
1. Регистрируют ваш сайт в сейпе, заливают свой sape.php под другим именем в подходящее место и делают включение в вашем скрипте.
2. Если сайт уже участвует в сейпе, то в sape.php вставляют полиморфный код, который выводит на вашем сайте нужные ссылки или делает редиректы "куда надо".
Денег много не бывает :)
remdos, я бы для начала попробовал, по возможности, заблокировать этот трафик. Иначе есть шанс быть забаненым в РСЯ, т.к. могут начать скликивать объявления.
Возможности реагирования зависят от того, где на хостинге сайт - если на своем VPS или дедике, то можно много чего сделать. Если нет, то ситуация сложнее.