Si ça recommence systématiquement, ça voudrait dire qu'il y a sur ton serveur des fichiers indésirables que tes réinstallations ne suppriment pas (fichiers qui écrivent ensuite dasn les fichiers de Joomla!).
As-tu comparé des fichiers déclarés modifiés avec ceux d'un Joomla! de base ?

Merci pour ta réponse Robert
Oui, pas plus tard que la semaine dernière, j'ai fais le ménage via ftp entre les sources de joomla 3.8.6 et mon site.
J'ai quelques composants :Akeeba Backup, CoalaWeb Traffic, Creative Contact Form, Creative Image Slider,JCE Administration, Phoca Gallery, Phoca Maps et depuis hier RSFirewall!
Je ne sais pas si le problème pourrait venir d'un de ces composants ?

Tu peux utiliser le Quickscan sur aesecure.com pour repérer les fi hiers susoects.
Ou installer myJoomla.com pour faire une audit

Bonjour

Comme Robert, je pense donc à des fichiers vérolés qui restent en place et, aussi p.ex., ton template qui est vérolé.

Remettre un Joomla tout propre ne va jamais supprimer p.ex. le fichier /images/virus.php mais comme tu le sais parfaitement, va se contenter de remettre les fichiers de Joomla.
De la même manière, le fichier /templates/ton_template/index.php ne sera pas remis à propre...

Tu pourrais aussi remettre des versions propres des composants, du template, ... mais restera encore le fichier /images/virus.php...

Ta démarche est une bonne démarche mais elle est incomplète si tu ne nettoies pas le reste.

Il n'y a pas beaucoup de marge : si remettre du propre n'est pas suffisant, il va falloir soit réinstaller un backup qui ne soit pas trop vieux mais surtout qui soit sain (et là, tu n'as aucune certitude) ou nettoyer ton site. Il existe des scanners pour cela, Marc en a mentionné un ci-dessus. Il te faudrait peut-être aussi allez plus loin et nettoyer par toi-même. Tu trouveras des tutoriels sur mon site (voir ma signature).

Bonne journée.

Bonjour, tout d'abord merci pour vos réponses.
Les nouvelles ne sont pas bonnes, j'ai effectué un scan complet du contenu de mes fichiers avec RSFirewall. Il y a avait effectivement des fichiers corrompus, j'ai passé mon weekend à tout remettre à la normale mais cette nuit, le hack a recommencé (cf imprim écran).
J'ai blacklisté les adresses ip d'origine mais chaque nuit cela change.
Après RSfirewall, mes autorisations sont bonnes. Je comprends pas que l'on puisse écraser un fichier sur mon ftp ...
Passer le site en https, peux t'il avoir une incidence ?

Comme je l'ai dit précédemment, il est fort probable, pour ne pas dire certain, qu'il y a, en plus des fichiers que t'a signalé ce script, un ou des fichiers malicieux quelque part qui recrée(nt) du code dans les fichiers de Joomla!, et ni le blacklistage d'IP, ni le passage en https n'y feront rien : il faut (faire) nettoyer le site (par un professionnel).

Bonjour,
Aucune car le https ne concerne QUE les "dialogues" entre le serveur et le client.
Si les fichiers malveillant sont deja en place, il ne te reste que l'option nettoyage du sol au plafond car si tu laisses la moindre petite faille, c'est reparti pour un tour
Le plus facile etant de faire remonter une sauvegarde saine d'avant le souci ... sinon, c'est un jeu de patience et de compétence car il en faut un peu pour débusquer les fichiers malveillant qui ont tendance a bien se planquer quelquefois ...