bhè come hai detto tu è molto probabile che l'attacco avvenga sfruttando qualche falla relativa al php obsoleto.

ma siccome attualmente non puoi toccarlo, dovresti trovare un'altro modo.

partendo dall'hardening di windows, del DB e del webserver che usi, potresti poi fare del packet filter tramite un FW (a proposito ne hai uno?), bloccando gli ip sorgenti (se sono sempre gli stessi o partono se dalla stessa rete) che puoi individuare dai log del webserver, oppure ricorrendo ad un IPS/IDS.

ci sono alemno 3 livelli di sicurezza da prendere in considerazione, e sono:

1-sicurezza livello rete (FW, IPS, ecc..)
2-sicurazza del sistema e dei servizi (SO e servizi server (web, db, ecc))
3-sicurezza applicativa (controllo degli input, programmazione sicura, hardening PHP e script che usi)

siccome non puoi toccare il livello 3 lavora almeno su 1 e 2