重点针对这个文件上传功能进行检查，同时针对网站所有文件进行检查，排查可疑信息。同时也利用网站日志，对文件被修改时间进行检查：

1、查到哪个文件被加入代码：用户要查看自己网页代码。根据被加入代码的位置，确定到底是哪个页面被黑，一般黑客会去修改数据库连接文件或网站顶部/底部的文件，因为这样修改后用户网站所有页面都会被附加代码。

2、查到被篡改文件后，使用FTP查看文件最后被修改时间，例如 FTP里面查看到conn.asp文件被黑，最后修改时间是2012-05-16 03：41分，那么可以确定在2012年5月16日03：41 分这个时间，有黑客使用他留下的黑客后门，篡改了您的conn.asp这个文件。

3、很多用户网站被黑后，只是将被串改的文件修正过来，或重新上传，这样并没有多大作用。如果网站不修复漏洞，黑客可以很快再次利用这漏洞，对用户网站再次入侵。网站漏洞的检查和修复需要一定的技术人员才能处理。用户需要先做好文件的备份。

4、用户本地机器中毒了，修改了用户自己本地的网页文件，然后用户自己将这些网页文件上传到服务器空间上。这种情况比较少，如是这种情况用户要先彻底检查自己网站。

5、有些病毒在网页文件的源代码中插入一段代码，而一般最常见的方式是插入一个iframe，然后将这个iframe的src属性指向到一个带有病毒的网址。解決辦法：浏览网站，右键查看源代码，在源代码里搜索iframe，看看有没有被插入了一些不是自己网站的页面，如果有，一般就是恶意代码。還有就是搜索“script”这个关键字，看看有没有被插入一些不是自己域名下的的脚本，如果有，并且不是自己放上去的，說明網站也中瑇了。