posiblemente el upload permite subir archivos php xD y mas encima se suben a una carpeta que se puede ver por http

coloca el codigo del upload y te hecho una mano.

si tienes ajax o formularios de busqueda tambien podrian ser vulnerables, habria que hechar una mirada a todos los formularios.

otra cosa mas complicada es la config del servidor, eso de los chmod, .htaccess safemode etc

lo ultimo es validar todos los $_GET y los $_POST te podria paras unas REGEX para que lleguen solo los datos que esperas ;)
-------------
ajajaja, me calleron bien los hackers esos, te ponen como vulneraron tu web, en el fondo es una ayuda a golpes
creo que es por el safemode off, seguramente es mysql injection