Hola loncho, en principio el código que usan no es antiguo ni tiene ningún problema, lo que pasa es que es poco habitual trabajar así.
Viendo el código, no se entiende que te puedan pasar un id que no exista en tu server. Es decir, si el arhivo .php no existe, según el código redirecciona a error.php.
Comprueba el código en error.php a ver qué hace.
Como medida preventiva, prueba cambiar el nombre del parámetro $_GET['id'] por cualquier otro, tipo $_GET['file'].
Quienquiera que te ataca sabe que tu variable se llama id, al menos por un rato, no pueden atacarte hasta que se enteren de que el parámetro ha cambiado.
Utiliza las variables $_SERVER para identificar al cliente, pero esto sirve de poco.
Parece que vas a tener que securizar un poco el código.
No sé si te habré dado alguna pista útil, salu2 a todo Paraguay.