Напишу кратко, решать самим, что и как Вам делать.
1. Старые версии движка, ну в прочем для многих не открытие. И уж давно пора все обновить до последних актуальных в своей линейке.
2. Редактор JCE - его последнее время залатывали не раз.
3. NoNumber Framework Joomla - все расширения от NoNumber используют свой Framework, в нем была уязвимость, автор залатывал её, потом переход был на платные версии, может ошибаюсь но, сейчас видимо заплатка прохудилась и скорей всего не будет поддержке старой версии. Получается версии 1.* уязвимы
остальное все не существенно, массово ломятся через п.2 и п.3
Вывод прост или требуется при использовании постоянно следить и мониторить обновления этих расширений, вовремя обновлять если используете, либо придется чистить сайты, думаю некоторым пользователям постоянно(все зависит от того все ли удалите), либо полностью отказаться от их использования. Кому то почистить не составит труда а кто то будет возиться неделю и более.
Взлом происходит просто, заливается файл для выполнения POST запроса, либо сразу *.php или *.gif *.png *.txt через него дергают shell со стороннего сайта, залив его на ваш сайт получают доступ к файлам, если у Вас не один сайт в папке к примеру как на шараде хост,
то все папки/файлы сайта становятся полностью доступны, если у Вас к примеру vps/vds и права на папки разграничены у каждого сайта свой пользователь, то папки/файлы доступны одного сайта, если конечно серверная часть настроена правильно
Теперь о важном, из выше написанного каждый поймет что если сайт не один в папке пользователя сервера, то чистить придется все, чистка не просто пробежаться сканерами и не понять что делать, чистка это не благодарный труд, который приходится делать, как вариант если сайтов много то чистить их на хосте может и не получится, причина простая если ваш сайт мониториться ботами, то почистив скажем 3 сайта из пяти вы можете при чистки остальных уже получить залитый шел на почищенные, т.е. при работе по чистки необходимо сайты отключать либо делать все локально скачав сайт.
Вся зараза это не те зловредные вставки в файлах *.js и *.php как дописка кода в начале или конце файла, сама зараза это отдельные файлы как самого shell так и прочее, те которые не имеют ни какого отношения к cms и установленным расширениям, сам файл либо называется post.php index.php либо с точки начинается .название.php либо набор цыфр и символов, может лежать множество раскиданы по папкам, обычно размер может совпадать ну с погрешностью 5-10кб плюс/минус, в последних топиках таких кодов за два месяца по вставляли массу, просто чистить устанешь а тему
на свалку не отправить,
давайте свои найденные файлы и примеры их кодов перенесем сюда, а там почистим все, тут их просто разместим так- название директории, файла и код под спойлер, это касается только коротких кодов, а остальное удалим из топиков где им не место
имхо, может не на 100% правильное, но мое
Для линейки Joomla 1.5.* думаю это последний массовый всплеск взломов, для тех пользователей кто полностью откажется от использования редактора JCE и расширений от NoNumber Framework(с конца 2011 года эти расширения латают и ни как не могут хорошую заплатку сделать или не хотят), остальные расширения не так массово используются, ну если кто то считает что не может отказаться от этих расширений то продолжать чистить сайт периодически, если не успеет обновить в момент выхода заплатки, на обновление есть 1-3дня в этот момент сайт не заражен, только залиты несколько файлов которые тоже необходимо найти и удалить, и это тоже не благодарный труд
последняя заплатка от NoNumber Framework
заплаткавесь код попадает на сайты автоматически по командам ботов или с shell
ищите у себя файлы с таким содержанием(название роли не имеет дописать могут в любой файл движка и расширений), код может меняться но принцип такой, как видно отступ в право есть очень большой
еще
еще
вариантов еще много, содержимое может отличатся но переменные не переделать