Скорее всего где то shell
Запретите прямой вызов php файлов во всех папках, где этого не должно происходить.

Во многих случаях помогает.

Вот некоторые соображения и личный опыт:
1) возможно в каком-то скрипте есть дыра, которая заведомо оставлена после одного из взломов или же после продажи одного из сайтов вам(если покупали). В таком случае можно сделать полную резервную копию сайтов, все очистить, поменять пароли. Если после этого последует взлом - то делаем копию сайтов на локал, в другой папке распаковываем бакапы и сравниваем изменения в Total Commander по содержимому (В инструментах есть такая штука как Синхронизировать каталоги, ставим галку - по содержимому). Также в Тотал Коммандере можно пройтись поиском по всем файлам на предмет содержания в них строчек команд eval, base64, system(, exec(, passthru( и тому подобных небезопасных.
2) может быть недобросовесных хостер, укажите у кого хостятся ваши сайты, поищите отзывы о вашем хостере.
3) некоторые шаринговые хостинги имеют внутрисистемные дыры, которые позволяют получать при помощи того же PHP или Perl доступ к файлам что знаходятся в домашней папке другого аккаунта. Таким способом можно много деллов натворить. Лучше всего использовать выделенный сервер или виртуальный выделенный сервер для своих сайтов. VDS/VPS = полный контроль!

Вариантов еще может быть много, включайте логику, наблюдайте и экспериментируйте...

Замечание модератора: Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней. Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой или обратитесь к любому из модераторов.