Надо было не халявную ставить, а если халявную, то хотя бы профильтровать теги. Взломщик поставил теги и редирект на свою страницу. Таким вот методом: http://rootteam.host.sk/articles/danpcard.htm. Было где-то еще описание, но я не помню линк. Попробуй отключить поддержку ява скрипта и зайти в гостевуху, после чего посмотреть, в каком сообщении использован ява скрипт и удалить сообщение.