Кажется я нашел на своем сервере самый старый вредоносный файл. Появился 19-го числа (большинство же взломов было зафиксировано с 20-го числа). assets/components/gallery/cache/var_www_vhosts{sitename}_.b7e3a964094cfe6e29fc9228bad6e7b2.php С таким содержимым: На вид очень похоже на то, что именно через этот файл и осуществлялся взлом, то есть уязвимость действительно в gallery была.