Successo un altro attacco, ma questa volta sapevo l'orario. Rientrato il provider, analizzando i log dell'ora probabilmente abbiamo trovato la pagina in un sito... come detto nel post iniziale, avevo protetto i siti con una doppia funzione di reinderizzamento e pulizia ... peccato che l'injection avveniva in ESADECIMALE! (se volete, vi posto pure il testo dell'injection) ... e quindi evitava il blocco che avevo messo... quindi forse forse ho risolto...
Comunque è veramente un lavoraccio perchè le pagine che scrivono nel database nel gestionale sono migliaia, di meno (una cinquantina) quelle dei siti.