И так. Проникновение на сервер произошло через Joomla 3.0, уязвимость описана здесь. Для закрытия уязвимости была обновлена Joomla, и куплен/установлен RSFirewall, который нашел остальные шеллы и будет в дальнейшем защищать сайт от XSS и переборов.
Ревизор все-таки зашел на подготовленную мною страницу и jsdetector ничего внятного не показал, только что у него установлен плагин для браузера - "Garena Talk Plugin". А значит он у нас играет. В XML файле, модуля "modules/mod_ariim/mod_ariim.xml", который отличается от оригинала, был найден автограф.
Как видно его никнейм - profexor, немного погуглив узнаем больше.
Старый ник - Dr.profexor. Свою активность в интернет начал в 2009 году, а то и ранее. Имеет большой опыт в таких делах. Сидит на античате (профиль). Из проектов, которые он делал, известен только один 3gp-film.ru. Так же он является его первым юзером и долгое время поддерживал его. Имеется множество упоминаний города - Саратов, и имени - Андрей. Предполагаемая фамилия - Бабенков. Телефон начинается на 7927911****. Возраст 30±5 лет. Так же найден WM аккаунт сего товарища, имеет персональный аттестат. Активность и BL уровень аккаунта говорят о том, что кошелек активно используется.
Вот и все, всем спасибо.
P.S. Андрей, тебе огромный привет.