estas siendo victima de inyeccion sql por el cual el codigo de login en php esta mal construido y por eso pueden insertar codigo malicioso a la base, usar ese codigo para loguear y luego buscar en cualquier lugar un opload de archivos donde simplemente cargan un codigo malicioso que obtienen de paginas como esta
http://www.r57shell.net/ y eso les da el control de tu server por php o asp dependiendo de tu server