Лезть могут откуда - угодно. Даже через соседа на сервере. Тут только заказывать услугу по аудиту безопасности или логи анлизировать.

Для начала, смотрите логи сервера на предмет GET и - чаще - POST запросов в период взлома.
Затем, после чистки сайтов (для обнаружения сигнатур должно вполне хватить Айболита) смените все пароли: к хостингу, к БД (пароли юзеров), к FTP, SSH, админкам сайтов. Проверьте права доступа файлов и папок на сервере.
Наконец, обновите все движки и их плагины до актуальных версий. Этих действий достаточно для 99% защиты от дальнейших взломов.

Если это не помогло - ищите пути SQL, XSS инъекций в ваших скриптах, но прежде еще раз перепроверьте файловую структуру на предмет зараженных файлов - обычно повторное заражение происходит не через повторный взлом, а через исполнение неудаленного кода.

чаще всего - устаревшая версия движка с критическими уязвимостями или дырявые плагины

Есть ли какой плагин, который установлен на все эти сайты? Возможно он был взломан и вредоносный код загружен через этот плагин

А зачем на все? Если они лежат на одном хостинге, достаточно сломать один сайт.

Если сайты на ВП - могу посоветовать человека по чистке/защите. Скайп maxix2009

для начала поставьте запрет на запись в шаблонах, и посмотрите что будет... скорее всего дырявый плагин (обновитесь)

phoenix_kys, Недавно чистил пачку сайтов, были загружены плагины с дырой в репозиторий. Эти плагины выкупили и загрузили. Если у вас php. , то скорее всего сервер надо настраивать чтобы такого не было. Еще скиньте перечень плагинов постараюсь подсказать какие надо заменить если там есть те которые ломали и о которых я слышал. Также напишите названия тем и хостинг.

Плагины которые не стоит устанавливать в любом раскладе:
1. exec-php - выполнение кода в скрипте.
2. Captcha by BestWebSoft в репозитории подписана просто как Captcha. Этот плагин продан разработчиками, но их же плагин с reCAPTCHA работает нормально.
3. Duplicate Page and Post (50 тысяч установок) - This plugin was closed on December 14, 2017 and is no longer available for download. Этот плагин закрыли недавно за дыры, выкупили его взломщики и начали распространять.
4. No Follow All External Links (9 тысяч установок) - This plugin was closed on December 19, 2017 and is no longer available for download. Этот тоже был заражен.
5. WP No External Links (30 тысяч установок) - This plugin has been closed for new installs. Та же история, выкуплен и заражен.
6. Shortcode Exec PHP - давно был взломан и удален, но на нем много сайтов легло.

Еще нужно руками просматривать базу данных, сканеры ее не сканируют, а там все чаще шелы сидят.

Сейчас ребята из Automattic стараются избежать таких инцидентов и активно чистят базу старых плагинов привлекают новых специалистов по безопасности. Думаю заметили что многие любимые нами плагины были удалены или скрыты если их больше 2 лет никто не обновлял. Так вот это потому что безопасность становится все больше актуальной.

Скиньте ссылку на один из сайтов который вам ломали, посмотрю что можно извне найти на нем, может что подскажу.

Сообщение отредактировал maxix - 30.12.2017, 21:29

Как я вас понимаю) Сам продвигаю свой основной сайт пачкой других сайтов, взломы достали так что сил больше нет)) Нужно каждый месяц мониторить и ставить обновления WP, стоит пару месяцев пропустить, и взлом тут как тут(((
Для себя сделал выводы что не нужно ставить темы и плагины из сомнительных источников, в основном ломают через них.

Могу посоветовать отключить все сторонние сомнительные плагины, а плагины из надежных источников обновить до последних версий) Или по логам на хостинге вычислить кто и как заливает, и закрыть уязвимость простой настройкой прав доступа.