Dices que no hay forma de acceder al código?
entonces cómo descubrieron esa vulnerabilidad los pequeños sriptkiddies éstos?
sería mejor que siguieras el consejo de Dario, a menos claro que fuera una aplicación comercial, y creo que eso tendrías que reportarselo al dueño del script para que "auditee" su codigo si es que sabe algo de seguridad en PHP...

Por otra parte, esos amiguitos no te dejarán de fastidiar, lo mismo me hicieron a mí la otra semana y ya los rastrie (sé donde viven, que tipo de conexión usan, sus nicks, que paginas web tienen, de que país son etc..)

Lo mejor sería denunciarlos pero todo depende del país donde vivas y sus leyes... en fin...

PD: si no haces algo, esos locos te seguirán fastidiando... un defacer askeroso no deja en paz hasta que reparas tu vuln... Juaa esos jovencitos deberían ir a la cárcel.. luego luego salen en la tele como dioses y sinceramente dan risa.. que ni programar saben.