como te dice BloodShadow tienes algunos agujeros que deberias arreglar, escapa todos los datos que proviene de $_POST y verifican que son del tipo que tendrian que ser y un captcha ,ademas deberias usar consultas sql preparadas , no usar mysql ya deprecada,

tienes algun .htaccess en tu web ? , si no es asi estas tardando en configurar uno y proteger directorios y archivos .

tienes algun sistema de seguimiento de usuarios ? guardas las ips etc....? te pregunto esto por que si es asi , puedes hacer una cosa , abre el archivo creado default.php y mira la hora de la ultima modificacion y ya sabiendo la hora y el dia , mira tu sistema de usuarios y mira a la hora que fue creado que usuarios habia navegando y asi puedes mas o menos identificar quien ha podido ser y banearlo , aunque esto no valga para mucho por lo menos algo es. (y si no lo tienes estas tardando en crearlo)

desactiva , allow_url_include, allow_url_fopen