Próba włamania na stronę Opcje

[rafor4]

Witam.
Na mojej stronie internetowej próbowano włamać się za pomocą sqlinjecta / wgrać backdoora oraz za pomocą bliżej niezidentyfikowanych metod.

Cała próba ataku odbyła się na kilku podstronach. Backdoor został wgrany przez wgrywanie avatara jednak został szybko unieszkodliwiony (1525 linijek skryptu - dość skomplikowany), a reszta ataku została przeprowadzona w formularzu kontaktu. Tak czy inaczej całość skryptów jest zabezpieczona za pomocą filtracji danych do wprowadzania, jednak ta podstrona nie zapisywała danych do bazy tylko bezpośrednio przesyłała treść wiadomości na maila - cały atak to było ~2500 prób w różny sposób używając sql inject z kombinacjami ' " ` oraz dziwnych komend. Formularz kontaktowy wyglądał mniej więcej w taki sposób:
$wiadomosc = $_POST['wiadomosc'];
$tytul = $_POST['tytul'];
i do wysłania została użyta funkcja mail();
Czyli prosty skrypt bez zapisywania do bazy więc wszystkie próby ataku znajdują się na skrzynce pocztowej. I właśnie tutaj cały problem, gdyż rozumiem prawie wszystkie wpisywane w formularzu próby ataków jednak nie wiem co miały spowodować te poniższe:
m.in.: (wpisywane w różnych kombinacjach z ' " ` | na początku i na końcu):
waitfor delay '0:0:4'--
file:///../../../../../../../winnt/win.ini
file:///../../../../../winnt/win.ini
file:///../../../../../../boot.ini
file:///../../../../../..//etc/passwd
file:///../../../../..//proc/self/environ
type %SystemRoot%\\\\win.ini
type %SystemDrive%\\\\boot.ini
/bin/cat /etc/security/passwd
sleep 8
/proc/self/environ

Czy mogło dojść w ten sposób do ataku przez php? cały formularz jest stworzony w stylu "<input type="text" name="c">"
Co usiłowano zrobić powyższymi komendami?