Fertőzött index.php fájlok és kéretlen .ico fájlok

Sziasztok!

Nagyon nagy segítségre lenne szükségem!

Az utóbbi 2 hétben azt tapasztaltam, hogy a Joomla könyvtáraiban random jelennek meg ".ico" kiterjesztéssel fájlok, és ezzel egyidejüleg megjelennek fertőzött index.php-k ezeken a helyeken (sokszor .bak.bak fájlokat is rakosgat le.):
A fájlok jogosultsága először 755-re majd 311 -re vált és akkor tiltja le a szerver a PHP-kat.
.well-known
.well-known/acme-challenge
bin
cli
tmp

Megfertőzi még az inckude/framework.php filét is meg a libraries/import.php filét is. Az filék elejére számokat és kódsorokat rak be.
Van 1.5 2-es és 3-as joomlás oldalam is. Mindegyikbe belemegy.

Kitarkarítom a fájlokat (felülírom a jó fájlokkal.) Külön fiókba kezdtem rakosgatni a domainjeimet, de visszajönnek egy napon belül. Általában hajnalban vagy délelőtt.

Ha valaki tudna segíteni mi lehet ez és hogyan tudok megszabadulni tőlik nagyon boldog lennék.
Csatolok egy a szolgáltató által küldött hibanaplót.

Üdv. Dankó Mihály

Az ingyenesen adott SSSL -ek és a nem kellően karbantartott CMS-ek rését kihasználják weboldalak feltörésére:
www.zscaler.com/blogs/research/abuse-hid...irectory-https-sites
www.securityweek.com/phishing-pages-hidden-well-known-directory
A .well-known/acme-challenge a free SSL-ek miatt keletkezik

Oké, de mit tudok tenni?
Ki lehet írtani ezt a vírust?
Amit észrevettem, hogy amelyik oldalam tudja a PHP 7.3-az az nem fertőződik, meg al aldomainként futó oldalak sem. Legalábbis eddig nem.
Most a gázosabb oldalakat beraktam aldomainba és átirányítottam a fődomaint az aldomainra.

1. A cPanelen elvileg van vírus írtó, futtasd és elemezd az eredményt
2. a well.. és alkönyvtárainak jogosultságát tedd át 555-re, illetve töröld ami nem kell benne. Jelezni fogja a vírusírtó
3. cPanel log fájlban érdemes az IP címeket megnézni és az IP kitiltóval felvenni a tartományt
4. Telepíts a CSM-hez tűzfal progit Pl: Joomal - RS Firewall, WP - Shield Security