Здравствуйте уважаемые гуру.
У меня есть 2 сайта на Joomla, лежат на Бест-Хостере.
С июля прошлого года, когда я боролся со спамом и почистил все от вирусов,
работали без проблем. А за последние 3 дня пришло 3 сообщения по почте
Что-то про SSL на английском. Вот перевод основной части последнего из них:

[veteranzgr.ru] almazsoft.veteranzgr.ru: Обновление сертификата AutoSSL
может привести к сокращению охвата на 2018-05-24 в 00:00:00 UTC
"cPanel on veteranzgr.ru"
Кому: mai45@mail.ru

almazsoft.veteranzgr.ru: Обновление сертификата AutoSSL может привести
к снижению покрытия с 2018-05-21 в 00:00:00 UTC

Поставщик AutoSSL «cPanel» не смог обновить сертификат SSL без снижения
охвата из-за следующих проблем:
 webdisk.almazsoft.ru [Last AutoSSL Run at "2018-02-25 в 01:00:12 UTC"]
Система запросила временный файл на странице
«http://webdisk.almazsoft.ru/.well-known/pki-validation/6C9D9B7CC5CAEE2294DCBBA337822193.txt»,
но веб-сервер ответил со следующей ошибкой: 404 (не найдено).
Может существовать DNS (система имен доменов) или
неправильная конфигурация веб-сервера.
 almazsoft.ru [Last AutoSSL Run at "2018-02-26 в 01:00:33 UTC"]
Содержимое «HACKED BY XYZ» файла DCV (проверка контроля домена),
доступ к которому осуществляется по адресу
«http://almazsoft.ru/.well-known/pki-validation/11A1EA318C657B38C22B555BC47D5A2B.txt»,
не соответствует ожидаемому значению.
Домен «almazsoft.ru» разрешил IP-адрес «91.219.193.53»,
который не существует на этом сервере.

Для наиболее текущего состояния перейдите к интерфейсу «SSL / TLS Status».
Вы также можете исключить домены от будущих попыток возобновления,
которые прекратят будущие уведомления.
Вы можете исправить эти проблемы в течение 3 дней с даты истечения
срока действия сертификата (2018-05-24 в 00:00:00 UTC)
или предпринять другие действия. Если вы этого не сделаете,
этот сертификат будет автоматически обновляться без этих доменов.
В следующий раз, когда поставщик «cPanel» AutoSSL попытается
обновить сертификат SSL, система попытается добавить в этот сертификат
следующие домены:
cpanel.almazsoft.ru
webmail.almazsoft.ru
Сертификат, установленный на этом веб-сайте, содержит следующие свойства:
Срок действия:
2018-05-24 в 00:00:00 UTC
Имена домена:
almazsoft.ru
almazsoft.veteranzgr.ru
mail.almazsoft.ru
webdisk.almazsoft.ru
www.almazsoft.ru
www.almazsoft.veteranzgr.ru
Сертификационный центр cPanel, Inc.
Система сформировала это уведомление в 2018-02-26 в 01:00:33 UTC.
Вы можете отключить тип Решения «AutoSSL :: CertificateRenewalCoverage»
в интерфейсе cPanel:

Я извиняюсь за длинный текст, но без него, думаю, проблему не понять.
Пишу в техподдержку (лишнее убрал)
Не открывается мой сайт almazsoft.ru (изменить)
Выдается пустой экран с текстом "«HACKED BY XYZ"
Как мне восстановить сайт?

Ответ: Евгений 25-02-2018 10:05:27
Приветствую, Борис!
Чтобы в дальнейшем выполнение вредоносных скриптов не повторялось
от Вас необходимо:
- произвести полный аудит выполнения кода (скриптов)
всего аккаунта на наличие основных типов уязвимостей и устранить их
› SQL инъекции
› PHP инъекции
› CRLF инъекции
› Инъекции в LDAP
› Remote File Include (RFI) - включение удаленного файла
› Local File Include (LFI) - включение локального файла
› XSS - межсайтовый скриптинг
› CSRF - подделка межсайтовых запросов
› File Upload - возможность загрузки произвольных файлов на сервер
› Обход авторизации административной панели сайта
› Information Leakage - утечки информации
› Прочие ошибки выполнения скриптов

- обновить все CMS и модули, удалить/отключить не используемые
- защитить административные части CMS доп. плагинами,
сменить адреса на не стандартные
- проверить аккаунт cPanel на вирусы встроенным антивирусом
- сменить пароль от cPanel на более сложный
- проверить локальные машины, с которых идет работа с аккаунтом на вирусы.

- рекомендуем использовать многофункциональный сканер https://revisium.com/ai/ в параноидальном режиме (php ai-bolit.php --mode=2), а также после чистки веб сканер https://rescan.pro/?utm=aibolit
- в случае необходимости обратиться для этого к сторонним специалистам

Ответ стандартный. Именно такой давали полгода назад для борьбы со спамом.
Для меня, поскольку я не спец в сайтостроении,
все это практически птичья грамота.
Поэтому я решил просто восстановиться с копии, сделанной
полгода назад после успешной борьбы со спамом.
Тем более, что изменений сайтов почти не было.

Я: Вчера обновил корневой каталог сайта с проверенной чистой копии. Заработало. Заменил пароли на более сложные.
Однако утром опять получил такое же уведомление.
Мне сложно понять, в чем тут дело. Я не специалист в этих вопросах.

Я так понял, что этот XYZ сразу же после моего обновления
заменил (возможно следил за сайтом в автоматическом режиме)
какой-то сертификат на «HACKED BY XYZ»
Получается, что все мои действия бесполезны,
ведь сертификаты на CPanel устанавливаете вы.
Вы специалисты в этих вещах.
Объясните мне пожалуйста, как решить эту проблему?
Чем она мне грозит?
(А похоже, грозит.
Вчера не смог внести изменения в одну из страниц сайта в админке.
Открываю ее, а админка пишет Ошибка 404. Страница не найдена.
Прошу не ограничиваться двумя словами в ответе.
Уточнение.
В админке сайта не открывается ни одна страница для внесения изменений.
Ошибка HTTP 500
Странно... Веб-сайт не может отобразить эту страницу
На этом сайте, возможно, проводятся работы по обслуживанию или возникла ошибка программирования.

Ответ: Владимир 26-02-2018 10:25:01
Версию php надо выбрать в Multiphp Manager в cpanel нужную для сайта.
И нужен детальный аудит, а не копия старая.

Я:Копия старая сделана как раз после детального аудита.
Зачем вдруг выбирать версию php, если раньше все работало?
Утром у меня хотя бы открывались и админки и сами сайты
almazsoft.ru и veteranzgr.ru, а сейчас вообще все перестало открываться.
Что творится с вашим хостингом?

Владимир 26-02-2018 10:55:41
На сервере есть некоторые проблемы, мы занимаемся решением,
но к Вашему взлому они не имеют отношения.

Я: А мне то как быть?

Ответ: Владимир 26-02-2018 11:47:26
Работает над решением проблемы, но сайты уже должны открываться.
P.S. проводите аудит в любом случае.

Сайты действительно стали открываться, но страницы в админке не открываются:
Ошибка HTTP 500
Странно... Веб-сайт не может отобразить эту страницу
На этом сайте, возможно, проводятся работы по обслуживанию
или возникла ошибка программирования

Уважаемые гуру. Можете посоветовать, как мне восстановить файлы?
Если я снова восстановлюсь с той же копии, то сайт опять сразу же хакнут.
проводите аудит в любом случае - Зачем, если копия чистая?
Зачем выбирать версию php, если раньше все работало?
Почему админки не работают?