Взлом сайта на Joomla - Безопасность сайтов на Joomla

Ломают сайт, хостер говорит, что уязвимость в скрипте Joomla.
Версия Joomla 1.5.14
Вот какие логи дал хостер:
access_log.2.gz:93.80.29.107 - - [04/Oct/2009:01:08:43 +0400] "GET
/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62+union+select+1,concat_ws(
0x3a,username,password,usertype,block,gid),3,4,5,6,7,8,9,10,11,12,13,14,15,16+from+jos_users--
HTTP/1.1" 404 1821 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Pre
sto/2.2.15 Version/10.00"
access_log.2.gz:93.80.29.107 - - [04/Oct/2009:01:08:43 +0400] "GET
/templates/system/css/error.css HTTP/1.1" 200 1672
"/index.php?option=com_i
doblog&task=profile&Itemid=1337&userid=62+union+select+1,concat_ws(0x3a,username,password,usertype,block,gid),3,4,5,6,7,8,9,10,11,12,13,14,15,16+from+jos_use
rs--" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.00"
access_log.2.gz:93.80.29.107 - - [04/Oct/2009:01:08:44 +0400] "GET /favicon.ico
HTTP/1.1" 404 1352 "/index.php?option=com_idoblog&task=profile
&Itemid=1337&userid=62+union+select+1,concat_ws(0x3a,username,password,usertype,block,gid),3,4,5,6,7,8,9,10,11,12,13,14,15,16+from+jos_users--"
"Opera/9.80 (
Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.00"
access_log.2.gz:83.237.103.28 - - [04/Oct/2009:17:53:35 +0400] "GET
/index.php?option=com_sobi2&sobi2Task=addNew&Itemid=300018 HTTP/1.1" 200 10818
"http://ww
w.sape.ru/orders.php?link_id=6145859&act=s_order&filter_mode=0&show_mode=1&s_nogood=1&s_pr_from=&s_pr_2=2&s_cy_from=10&s_cy_2=100&s_ext_links=3&s_ext_links_f
orecast=4&s_price_from=&s_price_2=5&s_days_old_whois=365&s_in_dmoz=&s_in_yaca=&s_domain_level=&page_level_3=true&categories_selector=on&domain_zones_selector
=on&s_words=&s_date_added=&s_site_id=&s_page_id=&s_only_open_url=1&s_flag_blocked_in_yandex=0&s_flag_blocked_in_google=0&s_pages_per_site=preferred&ps=10&anc
hor_orderby=&orderby=&name=&s_categories[0]=12&s_categories[1]=34&s_categories[2]=28&pn=5&ps=10"
"Mozilla/5.0 (Windows; U; Windows NT 5.2; ru; rv:1.9.1.3) Ge
cko/20090824 Firefox/3.5.3 GTB5"
access_log.3.gz:188.134.40.141 - - [03/Oct/2009:02:50:43 +0400] "GET
/index.php?option=com_content&view=article&id=23&Itemid=40 HTTP/1.1" 200 4708
"http://ww
w.sape.ru/orders.php?link_id=6120298&act=s_order&filter_mode=0&show_mode=1&s_nogood=0&s_pr_from=0&s_pr_2=1&s_cy_from=10&s_cy_2=20&s_ext_links=3&s_ext_links_f
orecast=3&s_price_from=&s_price_2=&s_days_old_whois=&s_in_dmoz=&s_in_yaca=1&s_domain_level=&page_level_2=true&categories_selector=on&domain_zones_selector=on
&s_words=&s_date_added=&s_site_id=&s_page_id=&s_only_open_url=1&s_double=1&s_flag_blocked_in_yandex=0&s_flag_blocked_in_google=0&s_pages_per_site=preferred&p
s=10&anchor_orderby=&orderby=&name=&pn=4&ps=10" "Mozilla/5.0 (Windows; U;
Windows NT 5.1; ru; rv:1.9.1.3) Gecko/20090824 MRA 5.5 (build 02772) Firefox/3.5.3
WebMoney Advisor"

Сказали, что якобы SQL инъекция.
Помогите разобраться.

/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62+union+select+1,concat_ws
Вот собственно и причина, попытка SQL injection через компонент com_idoblog
Решение - разбираться самостоятельно (возможно ли это) либо связываться с разработчиками и уточнять.
Если идет простейшая фильтрация получаемых данных в компоненте то можно расценивать это как простой подбор дыры юным кулхацкером и не обращать внимания

89.218.131.60 - - [07/Oct/2009:09:32:37 +0400] "GET /plugins/tmp/wso2.php
HTTP/1.1" 200 11005 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64;
Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729;
Media Center PC 6.0)"                                                       
89.218.131.60 - - [07/Oct/2009:09:32:40 +0400] "GET /plugins/tmp/wso2.php
HTTP/1.1" 200 11005 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.1.3) G
ecko/20090824 MRA 5.5 (build 02842) Firefox/3.5.3"           

Вот еще один пример. Как мне представляется, был загружен shell wso2.php. Не ясно как это было сделано и что вообще хранит папка /plugins/tmp/ ?

В папке plugins каталога tpm быть не должно
Загрузить могли либо через найденную уязвимость скрипта либо через фтп
Меняйте пароли везде, проверяйте машину на вирусы, обновляйте все расширения до последних версий и наблюдайте дальше