Разместили шел "Web Shell by oRb", насколько я понял был залит взломав админку, версия 7 Друпал. По логам и журналу видно что каким то образом удалось зайти сменив мою админскую почту на свою, далее хакер воспользовался напоминанием пароля и зашел в админку, после чего создал страницу с помощью которой заливал вирус на сайт заменяя индексные файлы у всех сайтов моих на хостинге.

Но я не могу понять как ему удалось зайти под админом и поменять почту на свою. В логах видны записи модуля logintoboggan, может ли он как то виноват в этом? Еще вот такие ссылки видно что хакер открывал:

/sites/all/modules/lightbox2/js/lightbox.js?1458088508
/sites/all/modules/lightbox2/js/lightbox.js?1458088515

Это нормально что они открываются и там код видно какой-то? Прилагаю файл логов минутный, именно за эту минуту произошел взлом судя по записям.

Если этого недостаточно и кто не против помочь за небольшое вознаграждение выяснить причину покопавшись в логах, стучитесь в личку. Хочется найти причину.