SQL инъекции нужна помощь - Безопасность сайтов на Joomla

Доброй ночи всем!

На мой сайт заглянули "Робин гуды" которые искали уязвимости с помощью автоматизированных решение для пентеста (Acunetix, DirBuster). Получили доступ к базе MySQL прислав скрины структуры базы и скрины таблицы users. Кроме этого уважаемые сообщили что "имееться раскрытия путей .../public_html/libraries/" Ясное что "Робин гуды" попросили бабла за раскрытие информации об уязвимости.

Как именно был получен доступ к БД - из запросов не видно (их несколько тысяч, часть  - методом POST), но вероятнее всего через SQL инъекцию, так как в этом случае можно вытащить всю структуру БД.
Изменений в файловой структуре не обнаружено.

А теперь знатоки - вопросы:
1) Так и не выяснилось где дыра и как получают доступ в базу. Есть ли умельцы на форуме которые хорошо знают об SQL инъекциях и слабых местах Joomla и шоппинга?
2) Как защищаются коллеги от таких атак? Просто когда идет поиск с помощью Acunetix, DirBuster то создается нехилая нагрузка на сервак и он начинает загибаться и как следствие уходить в даун.

Сайт на Joomla 3.4.8 + JoomShopping 4.12.0

Скорее всего уязвимость в каком-нить левом модуле, плагине или .. (не варезный шаблон то?)

2) Есть антиддос решения, как отдельные тарифы, так и самостоятельно, если речь о VDS\сервере

шаблонов варезных не используем. плагинов и модулей написано под себя достаточно. но как я писал выше по логам видно что использовали автоматизированный поиск инъекций - навалились за 6 часов сайт подгрузили и нашли дырку. Следовательно (помоему разумению) то что писали сами под себя врят ли дырявое - так как автоматизированные ищут дырки в публикуемых расширениях.

По подробнее можно на счет DDOS решений? Это что то типа https://www.cloudflare.com/ ? Если на счет VDS, то нет - мы на обычно хостинге. У нас посещался низкая. Ставить что то дорогое нету смысла. Было бы 5000 уников тогда уж понятно, а у нас и до 800 не дотягивает.

Вообще кому мы нужны со своим мелким сайтом вообще не ясно.

Доброй ночи всем!

На мой сайт заглянули "Робин гуды" которые искали уязвимости с помощью автоматизированных решение для пентеста (Acunetix, DirBuster). Получили доступ к базе MySQL прислав скрины структуры базы и скрины таблицы users. Кроме этого уважаемые сообщили что "имееться раскрытия путей .../public_html/libraries/" Ясное что "Робин гуды" попросили бабла за раскрытие информации об уязвимости.

Как именно был получен доступ к БД - из запросов не видно (их несколько тысяч, часть  - методом POST), но вероятнее всего через SQL инъекцию, так как в этом случае можно вытащить всю структуру БД.
Изменений в файловой структуре не обнаружено.

А теперь знатоки - вопросы:
1) Так и не выяснилось где дыра и как получают доступ в базу. Есть ли умельцы на форуме которые хорошо знают об SQL инъекциях и слабых местах Joomla и шоппинга?
2) Как защищаются коллеги от таких атак? Просто когда идет поиск с помощью Acunetix, DirBuster то создается нехилая нагрузка на сервак и он начинает загибаться и как следствие уходить в даун.

Сайт на Joomla 3.4.8 + JoomShopping 4.12.0

Через SQL иньекции можно достать весь дамп БД, получить логин, пасс от админки и через админку залить шелл, прочитать конфиг БД и в свободном полете зайти уже в пхпмиадмин, где наглядно все видно, само по себе, если нет файловых привелегий, то конфиг нельзя прочитать...

Сайт на Joomla 3.4.8 + JoomShopping 4.12.0

актуальная версия 3.6.2

актуальная версия 3.6.2

на счет актуальных версий я вкурсе. не обновлялся, так как на тестовом сайте тестировали не отвалится ли написанные плагины при обновлении + писали новые плагины и хотел разом все сделать. но не успел. Вот как раз думаю есть ли закрытые уязвимости между моей текущей версией и самой новой актуальной. Возможно по этой причине и нашли дыру. Обновляться до актуальных планирую сегодня - но вопрос в другом. Если дыра уже есть, то закроется ли.

Суть вопроса была в том, что может быть есть специалисты тут на форуме которые знакомы с большинством дырок под наш движок - ну и попробовать посмотреть наличие их. За вознаграждение конечно же.

Через SQL иньекции можно достать весь дамп БД, получить логин, пасс от админки и через админку залить шелл, прочитать конфиг БД и в свободном полете зайти уже в пхпмиадмин, где наглядно все видно, само по себе, если нет файловых привелегий, то конфиг нельзя прочитать...

так что посоветуете сделать то?

Суть вопроса была в том, что может быть есть специалисты тут на форуме которые знакомы с большинством дырок под наш движок - ну и попробовать посмотреть наличие их. За вознаграждение конечно же.

Обращайтесь ссылка в подписи.
п.с.
И кто сказал что это SQL инъекция ? Просто получили доступ к файлу конфига Joomla, где указаны данные доступа к БД.

Суть вопроса была в том, что может быть есть специалисты тут на форуме которые знакомы с большинством дырок под наш движок - ну и попробовать посмотреть наличие их. За вознаграждение конечно же.

Вознаграждения может и не хватить  ни кто просто так такие работы не выполняет, по ищите школьников, найдут но конечно не все. Правильно подмечено нужен только конфиг. А SQL если и были то по стандарту бот прошелся и будет приходить, стоит все обновить и не париться. Но сейчас в вашем случае придется проверять на наличие шелов, которые обязательно уже есть.

_{оно вам надо искать то, после драки кулаки не чешут}