这是最简单的攻击方式了（这种攻击方式都有教程的），利用程序漏洞攻击，买防火墙没有的用。
如果网站是asp + sqlserver的话
lz按以下方式处理一下把。
下载一个放注入代码，include到你的所有页面里，一般来说，asp网站都有一个conn.asp文件，你include到那个文件就行了。
http://www.hackbase.com/subject/2009-02-27/14200.html
数据库的用户要设置一下，不要让asp网站用sa用户，新建一个用户，设置为网站数据库的db_owner,删除数据库中的xp_cmdshell存储过程（这个是一个大漏洞，删除方法自行google）
这么弄一下基本可以挡住菜鸟级的黑客了。

对了，赶快清理一下你服务器的帐号，看看有没有可疑的帐号（这些帐号可以隐藏起来的，用户管理界面是看不到的），说不定人家已经在你们公司的服务器上创建了用户，不清理掉这些帐号，你再怎么处理也是白搭。