Как загрузили шелл непонятно. Очевидно уязвимость в каком-то модуле.
Шелл найти не сложно, его удалили сразу.
Но теперь вот как-то хитро заходят через восстановление пароля.

Видимо все-таки придется всё обновлять и надеяться на лучшее...

Версия 6.13

kosHta wrote:

Сначала ломается база, там вводят новое админское мыло, при восстановлении
пароля открывается доступ к созданию нового пароля на сайте.

Такой сценарий понятен.
Но здесь действуют иначе (все видно в вебвизоре).
1. Вводят мыло админа в востановлении пароля, нажимают отправить (на почту админа ничего не приходит).
2. Затем тут же вводят уже свой емейл и отправляют пароль себе.