这两天在分析大量网站的IIS日志后,挂马的起因都是:被挂马的网站,都事先访问过文件admin/ks.template.asp及admin/include/upfilesave.asp进入上传木马,而这两个均是后台文件，都是有经过后台验证的，即挂马者极有可能已事先知道你的后台用户和密码,认证码等。

综上所述：被挂马的用户清除后，请一定及时的更改的你管理员密码，认证码及后台管理目录！否则可能导致再次面临被挂马。