Здравствуйте!
Имею несколько сайтов на друпале 7 версии. В последнее время одолевают вирусы - в разных папках друпала появляются чужие пхп-файлы типа:

Результаты антивирусной проверки:
{HEX}php.base64.POSTpe80.183 : /public_html/language/en-GB/configUch.php
{CAV}Php.Trojan.StopPost : /public_html/libraries/joomla/client/alias.php
{HEX}php.base64.v23au.184 : /public_html/libraries/joomla/utilities/.themes68.php
{CAV}Php.Trojan.StopPost : /public_html/libraries/joomla/document/xml/search.php
{HEX}php.base64.v23au.184 : /public_html/libraries/joomla/access/db71.php
{CAV}Php.Trojan.StopPost : /public_html/templates/jblank/html/com_content/archive/default.php
{MD5}php.mailer.r42.6676 : /public_html/templates/jblank/html/com_newsfeeds/categories/general.php
{CAV}Php.Trojan.StopPost : /public_html/templates/jblank/html/mod_footer/default.php
{HEX}php.base64.v23au.184 : /public_html/templates/atomic/css/blueprint/plugins/css.php
{CAV}Php.Trojan.StopPost : /public_html/templates/beez5/html/com_content/featured/include.php
{HEX}php.base64.POSTpe80.183 : /public_html/templates/beez5/javascript/newsokDir.php
{CAV}Php.Trojan.StopPost : /public_html/media/editors/tinymce/jscripts/tiny_mce/themes/simple/skins/o2k7/javascript.php
{HEX}php.base64.v23au.184 : /public_html/administrator/language/ru-RU/utf91.php
{CAV}Php.Trojan.StopPost : /public_html/modules/mod_footer/tmpl/files.php

И таких много в совершенно разных местах.

Можете подсказать где искать и латать дыру?
Права на папки стоят 755.
ФТП-пароли врятли стырены - работаю в линуксе, пароли в фтп-клиентах не храню вообще, а храню в спец.программах.

В отчетах о состоянии друпала все нормально.

Сам пхп-файл такой содержит несколько строк закодированных. Его действие - рассылает спам кучами.
Удаляю все файлы - опять налетают.