Simples, vc tem em algum lugar das suas páginas isso:

/java script:Galeria=void(window.open('galeria/ CodGaleria=34','Galeria','width=610,height=415,scrollbars=no,resizable=no,toolbar=no,left=50,top='$akivemalgumavariavel'

Ai o kra rodou um script dele em php, essa técnica chamamos de PHP INJECTION, ela explora uma falha de programação.
ele rodou a função system() e "dominou" sua shell.

revise seus scripts.


dá uma olhada nesse link:
http://www.novota.cz.....md=cat bugado

é a "cmd" do kra, um script que ele usa pra manipular sua shell atraves da função system();

Você deveria ser mais calmo na sua resposta, não tenho obrigação de ajuda-lo, devido a sua péssima redação não entendi sua dúvida.
Me fez perder todo o tesão em te ajudar, vai procurar no google, talvez ele seja mais paciente do que eu.

Só tome mais cuidado nas respostas kra, eu estou aqui por livre e espontânea vontade de ajudar da mesma forma que me ajudaram a 4 anos atras. E não teria pq eu dizer algo sem fundamento aqui, achei que sua dúvida fosse realmente aquela.
Mas vou lhe responder sobre métodos de invasão.

Você deixando qualqer pasta com CHMOD 777 no seu servidor é fatal, dificilmente vc vai conseguir segurar a bronca por causa disso, qualquer um pode upar um exploit e conseguir acesso root.
O que ele precisa é apenas de uma shell, e shells existem milhares espalhadas por ai.

Depois ele roda um backdoor e já era.
As dicas de segurança podem variar e muito, preciso saber qual é o O.S. do seu servidor, versão do Apache, etc...
O Bom é sempre manter seu servidor com as últimas atualizações.
Inicialmente é isso.
Se você quiser saber se o seu servidor é vulnerável a ataques recomendo utilizar um scanner chamado Acunetix ou o Shadow Scanner, eles fazem um scan bom... se você já manjar um pouco mais utilize o nmap para procurar portas abertas desnecessáriamente e etc., agora se o seu servidor for alugado, comunique com o datacenter para eles verificarem.
Por enquanto é isso.

Na verdade o real problema não é na GET, e sim no conjunto da obra, eu uso GET e não encontro nenhuma falha nos meus scripts(includes).

Utilizo da seguinte forma:

<?
			   $vai = $_GET['vai'];
			   if (!isset($vai))
			   include("home.php");
			   else if(ereg("/",$vai))
			   include("forbidden.php");
			   else {
			   if (file_exists("$vai.php"))
			   include_once("$vai.php");
			   else include("notfound.php");
			   }
			   ?>

Não tem muito mistério, se alguém achar alguma falha por favor me avise, mas uso dessa forma a 3 anos e nunca tive problemas, e olha que já tentaram me atacar diversas vezes.

E tem jeito de pegar script kiddies nessa brincadeira, a maioria dos kras que usam php injection são script kiddies, são tão lammers que se quer utilizam proxy, depois posto uma função que fiz para gravar o IP de usuários que tentam php injection e sql injection.