Inyeccion Codigo HTML dentro WebSite

hola buen dia a todos,

tengo una consulta , actualmente tengo mi aplicacion hecha en HTML5 Bootstrap (frontend) y ASPX (backend), tengo un registro de mantenimiento , en donde actualmente se encuentra en produccion, el sitio web es un sistemas de encuestas en donde guarda la encuestas definidas por el usuario cliente, entoncs ellos se encargan de hacer el registro respectivo , el problema es el siguiente :

Siempre en el formulario en donde se encuentran los registros de las encuestas registradas, aveces encuentro la descripcion de la encuensta, mas este codigo html, que

es el siguiente :.

<div style="display:none">how to know your wife cheated<a href="http://www.robertsuk.com/page/So-Your-Wife-Cheated.aspx">robertsuk.com</a>why do i want my wife to cheat on me</div>

en resultado seria asi, mi encuensta mas el codigo html inyectado:
¿Que tan satisfecho está con la ubicación de nuestro proyecto? <div style="display:none">how to know your wife cheated<a href="http://www.robertsuk.com/page/So-Your-Wife-Cheated.aspx">robertsuk.com</a>why do i want my wife to cheat on me</div>


lo que me hizo pensar que el problema se trate de alguien que esta ingresando la informacion del html aproposito, otras personas me dijeron que puede ser un robot o se trate de inyeccion de codigo por medio de un virus en mi server.

sin embargo, desde el lado cliente he hecho la validacion en javascript con jquery para que no me permite agregar etiquetas html, osea si en la caja de texto detecta etiquetas html o si no el signo "<" o ">", simplemente me valida y no va al server,

inclusive dentro del codigo del servido (codigo c#) tambien hago la misma validacion que me detecte si tene informacion HTML que simplemente no se vaya a la capa controller a guardar la inforacion a la base de datos, y tambien en el lado del cliente he implementado un codigo captcha.

sin embargo hice esa validacion lo hice el dia viernes, y hoy lunes HE ENCONTRADO INFORMACION INYECTADA, osea ni la validacion que hice en el lado del cliente ni la validacion que hice en el lado del server valieron y eso que tambien en el lado del cliente HE IMPLEMENTADO UN CODIGO CAPTCHA.. pero tampoco!!!!

por favor, alguien me podria decir a que se debe ese problema, que clase de virus me puede estar inyectando codigo html de esa forma, para mi es la primera vez que me sucede algo asi


Gracias de ante mano por la respuesta.

Si tienes el código fuente depuralo para saber desde donde trae ese código html.

Como dice el usuario arriba, debes depurar el codigo y ver en donde es que se logra esa inyeccion de datos, lo que debes hacer es verificar bien las validaciones . el servidor donde alojas el sitio es propio? externo? mira que no faltan los ociosos que usan scripts para insertar basura en los titles de los sitios web.

Cambia las claves de acceso por FTP, igual y han instalado un programa que permite la insercion a tus tablas.
Cambia claves de acceso a tu base de datos, si es un servidor compartido puede que todo el servidor este comprometido. Procura que tu base de datos no este dentro del mismo servidor.

Procura el empleo de stored procedures con tipos de datos calificados para las actualizaciones en tu base de datos