Grazie per le risposte, in effetti non so proprio che pesci pigliare...

stavo giusto dando un'occhiata qui
http://blog.html.it/28/08/2006/il-pr...ers-injections
mi rendo conto di essere proprio ignorante in materia...Ho fatto anche il classico errore di aver preso un form preconfezionato da internet...(senza capirci dentro granchè)
Ma stranamentte l'attacco è avvenuto prima che caricassi sul sito lo script in php. Lo script l'ho caricato ieri sera e dopo aver sistemato la homepage già infetta!
Il php invece mi è stato attivato da più tempo, forse un mese. Fino a ieri la pagina per l'invio mail reindirizzava su uno spazio free di altervista dove php era già attivo in attesa che lo attivassero anche sul mio dominio.

Ti mando il link al sito..e se vuoi ti mostro anche il codice del php.

grazie ancora per la pazienza!