>Вот заломали тебя, как узнать через что конкретно?
1. Разные хосты - разные юзвери. Смотришь, с чьим именем мусор валяется и понятно, через какой хост.
2. Меняешь движок форума - и взломы волшебным образом прекращаются на годы :)
>И каким образом (чтоб знать что патчить)
А вот тут уже - х.з. Я просто перебором нашёл самый учтойчивый к взломам движок (punBB), а потом, сидя на нём, начал писать свою систему, в которой через какое-то время идеей фикс стало отсутствие прямой работы с уязвимыми компонентами (типа MySQL-драйвера). Не смотря на то, что код системы выложен уже больше года, до сих пор пока никто не ломал :) (а были опасения, что поломают быстро, вскоре после выкладывания).
Всем большое спасибо!
Я думаю по мере "взросления" проекта все равно придется покупать хороший платый движек.
Радует то, что сейчас в платных движках есть импорт из всех основных бесплатных движков, так что перейти не составит большого труда!
А может PunBB будет прекрасно справляться! ;)