Был очень интересный взлом, подключили рекламу
с liex.ru но деньги зачислялись на какой-то сторонний
сайт, при чем на хосте у меня 7 сайтов на всех сайтах
обнаружил эту штуку (3 сайта не на престе).
Лечил: удалил добавленные файлы из папки docs, восстановил файл .htaccess,
заблокировал IP откуда заходили и удалил строки активации из файла
index.php в корне и header.tpl и footer.tpl